Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Scannez les images pour détecter les vulnérabilités du système d'exploitation dans Amazon ECR
Le scan de base d'Amazon ECR utilise une technologie AWS native pour scanner les images de vos conteneurs afin de détecter les vulnérabilités logicielles. L'analyse de base permet de détecter les vulnérabilités sur un large éventail de systèmes d'exploitation courants, en fournissant plus de 50 flux de données afin de détecter les vulnérabilités et les expositions courantes (CVEs). Ces sources incluent les avis de sécurité des fournisseurs, les flux de données, les flux de renseignements sur les menaces, ainsi que la base de données nationale sur les vulnérabilités (NVD) et le MITRE.
La numérisation de base Amazon ECR est prise en charge dans toutes les régions répertoriées dans la section [AWS Services par région.](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)
Amazon ECR utilise la gravité d’un CVE de la source de distribution en amont si disponible. Sinon, le score CVSS (Common Vulnerability Scoring System) est utilisé. Le score CVSS peut être utilisé pour obtenir l'évaluation de gravité de la vulnérabilité NVD. Pour en savoir plus, consultez [NVD Vulnerability Gravity Ratings](https://nvd.nist.gov/vuln-metrics/cvss).
L'analyse de base d'Amazon ECR prend en charge les filtres pour spécifier les référentiels à analyser en mode push. Tous les référentiels qui ne correspondent pas à un filtre de numérisation en mode push sont définis sur la fréquence **d'analyse manuelle**, ce qui signifie que vous devez démarrer l'analyse manuellement. Une image peut être numérisée une fois toutes les 24 heures. Les 24 heures incluent le scan initial sur push, si configuré, et tous les scans manuels. Avec la numérisation de base, vous pouvez numériser jusqu'à 100 000 images par 24 heures dans un registre donné.
Vous pouvez récupérer les derniers résultats de numérisation d'image achevée pour chaque image. Lorsqu'une numérisation d'image est terminée, Amazon ECR envoie un événement à Amazon EventBridge. Pour de plus amples informations, veuillez consulter [Événements Amazon ECR et EventBridge](ecr-eventbridge.md).
## Support du système d'exploitation pour la numérisation de base
Pour des raisons de sécurité et pour garantir une couverture continue, nous vous recommandons de continuer à utiliser les versions prises en charge d'un système d'exploitation. Conformément à la politique du fournisseur, les systèmes d'exploitation abandonnés ne sont plus mis à jour avec des correctifs et, dans de nombreux cas, de nouveaux avis de sécurité ne sont plus publiés à leur sujet. En outre, certains fournisseurs suppriment les alertes de sécurité et les détections existantes de leurs flux lorsqu'un système d'exploitation concerné atteint la fin du support standard. Lorsqu'une distribution perd le support de son fournisseur, Amazon ECR peut ne plus prendre en charge l'analyse des vulnérabilités. Tous les résultats générés par Amazon ECR concernant un système d'exploitation abandonné doivent être utilisés à titre informatif uniquement. Pour obtenir la liste complète des systèmes d'exploitation et des versions pris en charge, consultez la section [Systèmes d'exploitation pris en charge - Amazon Inspector scan](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-scan-inspector-scan) dans le *guide de l'utilisateur d'Amazon Inspector*.
# Configuration de la numérisation de base pour les images dans Amazon ECR
Par défaut, Amazon ECR active le scan de base pour tous les registres privés. Par conséquent, à moins que vous n'ayez modifié les paramètres de numérisation de votre registre privé, il n'est pas nécessaire d'activer le scan de base.
Vous pouvez utiliser les étapes suivantes pour définir un ou plusieurs filtres de scan sur push.
**Pour activer le scan de base pour votre registre privé**
1. [Ouvrez la console Amazon ECR sur private-registry/repositories https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/private-registry/repositories)
1. Dans la barre de navigation, choisissez la région pour laquelle vous souhaitez définir la configuration d'analyse.
1. Dans le volet de navigation, choisissez **Registre privé**, **Numérisation**.
1. Dans la page **Scanning configuration** (Configuration de l'analyse), pour **Scan type** (Type d'analyse), choisissez **Basic scanning** (Analyse de base).
1. Par défaut, tous vos référentiels sont configurés pour une analyse **manuelle**. Vous pouvez éventuellement configurer l'analyse lors de l'envoi (push) en spécifiant des **filtres d'analyse lors de l'envoi (push)**. Vous pouvez définir l'analyse lors de l'envoi (push) pour tous les référentiels ou pour des référentiels individuels. Pour de plus amples informations, veuillez consulter [Filtres permettant de choisir les référentiels à analyser dans Amazon ECR](image-scanning-filters.md).
**Note**
Si le scan en mode push est activé pour un dépôt, des scans sont également effectués sur les images restaurées après avoir été archivées. Aucune ancienne numérisation ne sera disponible à partir de l'image restaurée.
# Numérisation manuelle d'une image pour détecter les vulnérabilités du système d'exploitation dans Amazon ECR
Si vos référentiels ne sont pas configurés pour **numériser en mode push**, vous pouvez lancer manuellement des numérisations d'images. Une image peut être numérisée une fois toutes les 24 heures. Les 24 heures incluent le scan initial sur push, si configuré, et tous les scans manuels.
Pour en savoir plus sur le dépannage de certains problèmes courants lors de la numérisation des images, consultez [Résolution des problèmes liés à la numérisation d'images dans Amazon ECR](image-scanning-troubleshooting.md).
------
#### [ AWS Management Console ]
Suivez les étapes suivantes pour lancer la numérisation manuelle d'une image à l'aide de la AWS Management Console.
1. [Ouvrez la console Amazon ECR sur private-registry/repositories https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/private-registry/repositories)
1. Dans la barre de navigation, choisissez la région dans laquelle vous souhaitez créer votre référentiel.
1. Dans le panneau de navigation, choisissez **Référentiels**.
1. Dans la page **Référentiels**, choisissez le référentiel qui contient l'image à numériser.
1. Dans la page **Images** sélectionnez l'image à numériser, puis choisissez **Numériser**.
------
#### [ AWS CLI ]
+ [ start-image-scan](https://docs.aws.amazon.com/cli/latest/reference/ecr/start-image-scan.html) (AWS CLI)
L'exemple suivant utilise une étiquette d'image.
```
aws ecr start-image-scan --repository-name name --image-id imageTag=tag_name --region us-east-2
```
L'exemple suivant utilise un résumé d'image.
```
aws ecr start-image-scan --repository-name name --image-id imageDigest=sha256_hash --region us-east-2
```
------
#### [ AWS Tools for Windows PowerShell ]
+ [Obtenez- ECRImage ScanFinding](https://docs.aws.amazon.com/powershell/latest/reference/items/Start-ECRImageScan.html) (AWS Tools for Windows PowerShell)
L'exemple suivant utilise une étiquette d'image.
```
Start-ECRImageScan -RepositoryName name -ImageId_ImageTag tag_name -Region us-east-2 -Force
```
L'exemple suivant utilise un résumé d'image.
```
Start-ECRImageScan -RepositoryName name -ImageId_ImageDigest sha256_hash -Region us-east-2 -Force
```
------
# Extraction des résultats pour les scans de base dans Amazon ECR
Vous pouvez récupérer les résultats de numérisation de la dernière numérisation d'image de base terminée. Les vulnérabilités logicielles découvertes sont répertoriées par gravité sur la base de données Common Vulnerabilities and Exposures (CVEs).
Pour en savoir plus sur le dépannage de certains problèmes courants lors de la numérisation des images, consultez [Résolution des problèmes liés à la numérisation d'images dans Amazon ECR](image-scanning-troubleshooting.md).
------
#### [ AWS Management Console ]
Suivez les étapes ci-dessous pour récupérer les résultats de numérisation d'images à l'aide de la AWS Management Console.
**Pour récupérer les résultats de numérisation d'images**
1. [Ouvrez la console Amazon ECR sur private-registry/repositories https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/private-registry/repositories)
1. Dans la barre de navigation, choisissez la région dans laquelle vous souhaitez créer votre référentiel.
1. Dans le panneau de navigation, choisissez **Référentiels**.
1. Dans la page **Référentiels**, choisissez le référentiel qui contient l'image pour laquelle récupérer les résultats de numérisation.
1. Sur la page **Images**, sous la colonne **Image tag**, sélectionnez la balise image pour récupérer les résultats de numérisation.
------
#### [ AWS CLI ]
Utilisez la AWS CLI commande suivante pour récupérer les résultats de numérisation d'images à l'aide du AWS CLI. Vous pouvez spécifier une image à l'aide de `imageTag` ou ` imageDigest`, qui peuvent être obtenus à l'aide de la commande CLI [list-images](https://docs.aws.amazon.com/cli/latest/reference/ecr/list-images.html).
+ [ describe-image-scan-findings](https://docs.aws.amazon.com/cli/latest/reference/ecr/describe-image-scan-findings.html) (AWS CLI)
L'exemple suivant utilise une étiquette d'image.
```
aws ecr describe-image-scan-findings --repository-name name --image-id imageTag=tag_name --region us-east-2
```
L'exemple suivant utilise un résumé d'image.
```
aws ecr describe-image-scan-findings --repository-name name --image-id imageDigest=sha256_hash --region us-east-2
```
------
#### [ AWS Tools for Windows PowerShell ]
+ [Obtenez- ECRImage ScanFinding](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ECRImageScanFinding.html) (AWS Tools for Windows PowerShell)
L'exemple suivant utilise une étiquette d'image.
```
Get-ECRImageScanFinding -RepositoryName name -ImageId_ImageTag tag_name -Region us-east-2
```
L'exemple suivant utilise un résumé d'image.
```
Get-ECRImageScanFinding -RepositoryName name -ImageId_ImageDigest sha256_hash -Region us-east-2
```
------