Numérisation d'images de conteneurs Amazon Elastic Container Registry avec Amazon Inspector - Amazon Inspector
Comportements de scan pour Amazon ECR ScanningSystèmes d'exploitation et types de supports pris en charge

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Numérisation d'images de conteneurs Amazon Elastic Container Registry avec Amazon Inspector

Amazon Inspector analyse les images des conteneurs stockées dans Amazon Elastic Container Registry pour détecter les vulnérabilités logicielles afin de générer des informations sur les vulnérabilités des packages. Lorsque vous activez le ECR scan Amazon, vous définissez Amazon Inspector comme service de numérisation préféré pour votre registre privé.

Avec l'analyse de base, vous pouvez configurer vos référentiels pour qu'ils effectuent une analyse push ou des analyses manuelles. Grâce à l'analyse améliorée, vous recherchez les vulnérabilités du système d'exploitation et des packages de langage de programmation au niveau du registre. Pour une side-by-side comparaison des différences entre la numérisation de base et la numérisation améliorée, consultez Amazon Inspector FAQ.

Note

La numérisation de base est fournie et facturée par AmazonECR. Pour plus d'informations, consultez la tarification d'Amazon Elastic Container Registry. La numérisation améliorée est fournie et facturée via Amazon Inspector. Pour plus d'informations, consultez la Tarification d'Amazon Inspector.

Pour plus d'informations sur la façon d'activer le ECR scan Amazon, consultezActivation d'un type de scan. Pour plus d'informations sur la façon de consulter vos résultats, consultezGestion des résultats dans Amazon Inspector. Pour savoir comment afficher vos résultats au niveau de l'image, consultez la section Numérisation d'images dans le guide de l'utilisateur d'Amazon Elastic Container Registry. Vous pouvez également gérer les résultats Services AWS non disponibles pour la numérisation de base, comme AWS Security Hub Amazon EventBridge.

Cette section fournit des informations sur le ECR scan Amazon et décrit comment configurer le scan amélioré pour les ECR référentiels Amazon.

Comportements de scan pour Amazon ECR Scanning

Lorsque vous activez la ECR numérisation pour la première fois et que votre référentiel est configuré pour une numérisation continue, Amazon Inspector détecte toutes les images éligibles que vous avez publiées dans les 30 jours ou que vous avez extraites au cours des 90 derniers jours. Amazon Inspector analyse ensuite les images détectées et définit leur statut de numérisation suractive. Amazon Inspector continue de surveiller les images tant qu'elles ont été envoyées ou extraites au cours des 90 derniers jours (par défaut), ou pendant la durée de nouvelle ECR analyse que vous avez configurée. Pour plus d'informations, consultez Configuration de la durée de ECR réanalyse d'Amazon.

Pour une analyse continue, Amazon Inspector lance de nouvelles analyses de vulnérabilité des images de conteneurs dans les situations suivantes :

  • Chaque fois qu'une nouvelle image de conteneur est envoyée.

  • Chaque fois qu'Amazon Inspector ajoute un nouvel élément commun relatif aux vulnérabilités et expositions (CVE) à sa base de données, qui CVE est pertinent pour cette image de conteneur (numérisation continue uniquement).

Si vous configurez votre dépôt pour la numérisation instantanée, les images ne sont numérisées que lorsque vous les envoyez.

Vous pouvez vérifier la date à laquelle une image de conteneur a été vérifiée pour la dernière fois pour détecter des vulnérabilités dans l'onglet Images du conteneur sur la page de gestion du compte, ou en utilisant le ListCoverageAPI. Amazon Inspector met à jour le champ Dernière numérisation d'une ECR image Amazon en réponse aux événements suivants :

  • Lorsqu'Amazon Inspector effectue la numérisation initiale d'une image de conteneur.

  • Lorsqu'Amazon Inspector analyse à nouveau une image de conteneur parce qu'un nouvel élément commun relatif aux vulnérabilités et expositions (CVE) ayant un impact sur cette image de conteneur a été ajouté à la base de données Amazon Inspector.

Systèmes d'exploitation et types de supports pris en charge

Pour plus d'informations sur les systèmes d'exploitation pris en charge, consultezSystèmes d'exploitation pris en charge : Amazon ECR scannant avec Amazon Inspector.

Les scans des ECR référentiels Amazon par Amazon Inspector couvrent les types de supports pris en charge suivants :

  • "application/vnd.docker.distribution.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v1+prettyjws"

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

    Note

    Les images à gratter et "application/vnd.docker.distribution.manifest.list.v2+json" les images ne sont pas prises en charge.