Análisis de imágenes de contenedores de Amazon Elastic Container Registry con Amazon Inspector - Amazon Inspector

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Análisis de imágenes de contenedores de Amazon Elastic Container Registry con Amazon Inspector

Amazon Inspector analiza las imágenes de contenedores almacenadas en Amazon Elastic Container Registry en busca de vulnerabilidades de software para generar resultados de vulnerabilidades de paquetes. Al activar los análisis de Amazon ECR, se configura Amazon Inspector como el servicio de análisis preferido para su registro privado.

Con el análisis básico, puede configurar los repositorios para el análisis al insertar o puede realizar análisis manuales. Con los análisis mejorados, puede analizar para encontrar vulnerabilidades de sistemas operativos y de paquetes de lenguajes de programación en el nivel de registro. Para ver una side-by-side comparación de las diferencias entre el escaneo básico y el mejorado, consulta las Preguntas frecuentes de Amazon Inspector.

nota

El análisis básico se proporciona y se factura a través de Amazon ECR. Para obtener más información, consulte Precios de Amazon Elastic Container Registry. El análisis mejorado se proporciona y se factura a través de Amazon Inspector. Para obtener más información, consulte Precios de Amazon Inspector.

Para obtener información sobre cómo activar el análisis de Amazon ECR, consulte Activación de un tipo de análisis. Para obtener información sobre cómo ver los resultados, consulte Administración de los resultados en Amazon Inspector. Para obtener información sobre cómo ver los resultados en el nivel de imagen, consulte Análisis de imágenes en la Guía del usuario de Amazon Elastic Container Registry. También puedes gestionar los hallazgos que Servicios de AWS no estén disponibles para el escaneo básico, como AWS Security Hub Amazon EventBridge.

En esta sección se proporciona información sobre el análisis de Amazon ECR y se describe cómo configurar el análisis mejorado para los repositorios de Amazon ECR.

Comportamientos de los análisis de Amazon ECR

Cuando activa el análisis de ECR por primera vez y el repositorio está configurado para el análisis continuo, Amazon Inspector detecta todas las imágenes elegibles que haya insertado en un plazo de 30 días o que haya extraído en los últimos 90 días. A continuación, Amazon Inspector analiza las imágenes detectadas y establece su estado de análisis en active. Amazon Inspector sigue supervisando las imágenes siempre que se hayan insertado o extraído en los últimos 90 días (de forma predeterminada) o dentro del tiempo para volver a analizar ECR que configure. Para obtener más información, consulte Configuración de la duración de la repetición del análisis de Amazon ECR.

Para el análisis continuo, Amazon Inspector inicia nuevos análisis de imágenes de contenedores en busca de vulnerabilidades en las siguientes situaciones:

  • cada vez que se inserta una nueva imagen de contenedor,

  • cada vez que Amazon Inspector agrega un nuevo elemento de vulnerabilidades y riesgos comunes (CVE) a su base de datos y una CVE es relevante para la imagen de contenedor (solo para análisis continuos).

Si configura el repositorio para analizar lo insertado, las imágenes solo se analizarán cuando las inserte.

Puedes comprobar cuándo se comprobó por última vez la imagen de un contenedor para detectar vulnerabilidades en la pestaña Imágenes del contenedor de la página de administración de cuentas o utilizando el ListCoverageAPI. Amazon Inspector actualiza el campo Fecha del último análisis de una imagen de Amazon ECR en respuesta a los siguientes eventos:

  • cuando Amazon Inspector completa un análisis inicial de una imagen de contenedor,

  • cuando Amazon Inspector vuelve a analizar una imagen de contenedor porque se ha agregado a la base de datos de Amazon Inspector un nuevo elemento de vulnerabilidades y riesgos comunes (CVE) que afecta a dicha imagen de contenedor.

Sistemas operativos y tipos de medios compatibles

Para obtener información acerca de los sistemas operativos compatibles, consulte Sistemas operativos admitidos: análisis de Amazon ECR con Amazon Inspector.

Los análisis de Amazon Inspector de repositorios de Amazon ECR cubren los siguientes tipos de medios compatibles:

  • "application/vnd.docker.distribution.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v1+prettyjws"

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

    nota

    No se admiten imágenes de reserva ni imágenes "application/vnd.docker.distribution.manifest.list.v2+json".