Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Scansiona le immagini per individuare le vulnerabilità del sistema operativo in Amazon ECR
La scansione di base di Amazon ECR utilizza la tecnologia AWS nativa per scansionare le immagini dei container alla ricerca di vulnerabilità del software. La scansione di base consente il rilevamento delle vulnerabilità su un'ampia gamma di sistemi operativi più diffusi, attingendo a più di 50 feed di dati per generare rilevazioni di vulnerabilità ed esposizioni comuni (). CVEs Queste fonti includono avvisi di sicurezza dei fornitori, feed di dati, feed di intelligence sulle minacce, nonché il National Vulnerability Database (NVD) e MITRE.
La scansione di base di Amazon ECR è supportata in tutte le regioni elencate in [AWS Servizi per regione](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
Amazon ECR utilizza la severity di un CVE dalla fonte di distribuzione upstream, se disponibile. Altrimenti, viene usato il punteggio CVSS (Common Vulnerability Scoring System). Il punteggio CVSS può essere utilizzato per ottenere il livello di gravità della vulnerabilità NVD. Per ulteriori informazioni, consulta [NVD Vulnerability Severity Ratings](https://nvd.nist.gov/vuln-metrics/cvss).
La scansione di base di Amazon ECR supporta filtri per specificare quali repository scansionare in modalità push. Tutti i repository che non corrispondono a un filtro Scan on Push sono impostati sulla frequenza di scansione **manuale**, il che significa che è necessario avviare la scansione manualmente. Un'immagine può essere scansionata una volta ogni 24 ore. Le 24 ore includono la scansione iniziale su push, se configurata, e le eventuali scansioni manuali. Con la scansione di base, è possibile scansionare fino a 100.000 immagini ogni 24 ore in un determinato registro.
I risultati delle ultime scansioni completate delle immagini possono essere recuperati per ogni immagine. Una volta completata la scansione dell'immagine, Amazon ECR invia un evento ad Amazon EventBridge. Per ulteriori informazioni, consulta [Eventi Amazon ECR e EventBridge](ecr-eventbridge.md).
## Supporto del sistema operativo per la scansione di base
Come best practice di sicurezza e per una copertura continua, si consiglia di continuare a utilizzare le versioni supportate di un sistema operativo. In conformità alla politica dei fornitori, i sistemi operativi fuori produzione non vengono più aggiornati con patch e, in molti casi, non vengono più rilasciati nuovi avvisi di sicurezza relativi a tali sistemi. Inoltre, alcuni fornitori rimuovono gli avvisi e i rilevamenti di sicurezza esistenti dai propri feed quando un sistema operativo interessato raggiunge la fine del supporto standard. Dopo che una distribuzione perde il supporto del fornitore, Amazon ECR potrebbe non supportare più la scansione alla ricerca di vulnerabilità. Qualsiasi risultato generato da Amazon ECR per un sistema operativo fuori produzione deve essere utilizzato solo a scopo informativo. Per un elenco completo dei sistemi operativi e delle versioni supportati, consulta la sezione [Sistemi operativi supportati - Amazon Inspector scan](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-scan-inspector-scan) nella Amazon *Inspector User Guide*.
# Configurazione della scansione di base per le immagini in Amazon ECR
Per impostazione predefinita, Amazon ECR attiva la scansione di base per tutti i registri privati. Di conseguenza, a meno che tu non abbia modificato le impostazioni di scansione nel tuo registro privato, non è necessario attivare la scansione di base.
È possibile utilizzare i seguenti passaggi per definire una o più scansioni sui filtri push.
**Per attivare la scansione di base per il registro privato**
1. [Apri la console Amazon ECR su private-registry/repository https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/private-registry/repositories)
1. Dalla barra di navigazione, scegli la regione in cui impostare la configurazione della scansione.
1. ****Nel pannello di navigazione, scegli Registro privato, Scansione.****
1. Nella pagina **Scanning configuration** (Configurazione della scansione), per **Scan type** (Tipo di scansione) scegli **Basic scanning** (Scansione di base).
1. Per impostazione predefinita, tutti i repository sono impostati per la scansione **Manual** (Manuale). Puoi scegliere di configurare la scansione su push specificando **Scan on push filters** (Filtri di scansione su push). È possibile impostare la scansione su push per tutti i repository o i singoli repository. Per ulteriori informazioni, consulta [Filtri per scegliere quali repository scansionare in Amazon ECR](image-scanning-filters.md).
**Nota**
Se la scansione su push è abilitata per un repository, le scansioni vengono eseguite anche sulle immagini che vengono ripristinate dopo essere state archiviate. Nessuna vecchia scansione sarà disponibile dall'immagine ripristinata.
# Scansione manuale di un'immagine per individuare le vulnerabilità del sistema operativo in Amazon ECR
Se i tuoi repository non sono configurati per la **scansione in modalità push**, puoi avviare manualmente le scansioni delle immagini. Un'immagine può essere scansionata una volta ogni 24 ore. Le 24 ore includono la scansione iniziale su push, se configurata, e le eventuali scansioni manuali.
Per la risoluzione dei problemi relativi ad alcuni problemi comuni durante la scansione delle immagini, consulta [Risoluzione dei problemi di scansione delle immagini in Amazon ECR](image-scanning-troubleshooting.md).
------
#### [ Console di gestione AWS ]
Attieniti alla seguente procedura per avviare una scansione manuale dell'immagine utilizzando la Console di gestione AWS.
1. [Apri la console Amazon ECR su private-registry/repository https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/private-registry/repositories)
1. Dalla barra di navigazione, scegliere la regione in cui creare il repository.
1. Nel riquadro di navigazione, selezionare **Repositories (Repository)**.
1. Nella pagina **Repositories (Repository)** selezionare il repository contente l'immagine da scansionare.
1. Nella pagina **Images (Immagini)** selezionare l'immagine da scansionare, quindi scegliere **Scan (Scansione)**.
------
#### [ AWS CLI ]
+ [ start-image-scan](https://docs.aws.amazon.com/cli/latest/reference/ecr/start-image-scan.html) (AWS CLI)
Nell'esempio seguente viene utilizzato un tag di immagine.
```
aws ecr start-image-scan --repository-name name --image-id imageTag=tag_name --region us-east-2
```
Nell'esempio seguente viene utilizzato un digest di immagine.
```
aws ecr start-image-scan --repository-name name --image-id imageDigest=sha256_hash --region us-east-2
```
------
#### [ AWS Tools for Windows PowerShell ]
+ [ECRImageScanFindingOttieni AWS Tools for Windows PowerShell- ()](https://docs.aws.amazon.com/powershell/latest/reference/items/Start-ECRImageScan.html)
Nell'esempio seguente viene utilizzato un tag di immagine.
```
Start-ECRImageScan -RepositoryName name -ImageId_ImageTag tag_name -Region us-east-2 -Force
```
Nell'esempio seguente viene utilizzato un digest di immagine.
```
Start-ECRImageScan -RepositoryName name -ImageId_ImageDigest sha256_hash -Region us-east-2 -Force
```
------
# Recupero dei risultati per le scansioni di base in Amazon ECR
È possibile recuperare i risultati della scansione per l'ultima scansione dell'immagine di base completata. Le vulnerabilità software rilevate sono elencate per gravità in base al database Common Vulnerabilities and Exposures (). CVEs
Per la risoluzione dei problemi relativi ad alcuni problemi comuni durante la scansione delle immagini, consulta [Risoluzione dei problemi di scansione delle immagini in Amazon ECR](image-scanning-troubleshooting.md).
------
#### [ Console di gestione AWS ]
Attieniti alla seguente procedura per recuperare i risultati della scansione delle immagini utilizzando la Console di gestione AWS.
**Per recuperare i risultati della scansione delle immagini**
1. [Apri la console Amazon ECR su private-registry/repository https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/private-registry/repositories)
1. Dalla barra di navigazione, scegliere la regione in cui creare il repository.
1. Nel riquadro di navigazione, selezionare **Repositories (Repository)**.
1. Nella pagina **Repositories (Repository)**, scegliere il repository che contiene l'immagine per cui recuperare i risultati della scansione.
1. Nella pagina **Immagini**, nella colonna **Tag immagine, seleziona il tag dell'immagine per** recuperare i risultati della scansione.
------
#### [ AWS CLI ]
Utilizzare il AWS CLI comando seguente per recuperare i risultati della scansione delle immagini utilizzando il. AWS CLI Puoi specificare un'immagine utilizzando `imageTag` o ` imageDigest`, entrambe ottenibili utilizzando il comando CLI [list-images](https://docs.aws.amazon.com/cli/latest/reference/ecr/list-images.html).
+ [ describe-image-scan-findings](https://docs.aws.amazon.com/cli/latest/reference/ecr/describe-image-scan-findings.html) (AWS CLI)
Nell'esempio seguente viene utilizzato un tag di immagine.
```
aws ecr describe-image-scan-findings --repository-name name --image-id imageTag=tag_name --region us-east-2
```
Nell'esempio seguente viene utilizzato un digest di immagine.
```
aws ecr describe-image-scan-findings --repository-name name --image-id imageDigest=sha256_hash --region us-east-2
```
------
#### [ AWS Tools for Windows PowerShell ]
+ [Ottieni- ECRImage ScanFinding](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ECRImageScanFinding.html) ()AWS Tools for Windows PowerShell
Nell'esempio seguente viene utilizzato un tag di immagine.
```
Get-ECRImageScanFinding -RepositoryName name -ImageId_ImageTag tag_name -Region us-east-2
```
Nell'esempio seguente viene utilizzato un digest di immagine.
```
Get-ECRImageScanFinding -RepositoryName name -ImageId_ImageDigest sha256_hash -Region us-east-2
```
------