本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
扫描图像以查找 Amazon 中的操作系统漏洞 ECR
注意
建议使用基本扫描的改进版本。
Amazon ECR 提供两个版本的基本扫描,它们使用常见漏洞和暴露 (CVEs) 数据库:
-
使用 AWS 原生技术的改进版基本扫描 (AWS_NATIVE)。
-
使用开源 Clair 项目的之前的基本扫描版本。有关 Clair 的更多信息,请参阅上的 Clair
。 GitHub
Amazon ECR 使用CVE来自上游分发来源的严重性(如果有)。否则,将使用通用漏洞评分系统 (CVSS) 分数。该CVSS分数可用于获取NVD漏洞严重性等级。有关更多信息,请参阅NVD漏洞严重性等级
两个版本的 Amazon ECR 基本扫描都支持筛选器,用于指定推送时要扫描哪些存储库。任何不符合推送时扫描筛选条件的存储库都将设置为手动扫描频率,这意味着必须手动开始扫描。每 24 小时扫描一次映像。24 小时包括初始推送时扫描(如已配置)以及任何手动扫描。
可以为每个镜像检索上次完成的镜像扫描结果。图像扫描完成后,Amazon ECR 会向亚马逊发送一个事件 EventBridge。有关更多信息,请参阅 亚马逊ECR活动和 EventBridge。
操作系统支持基本扫描及改进的基本扫描
作为一项安全最佳实践并为了持续提供覆盖,建议您继续使用受支持的操作系统版本。根据供应商政策,停用的操作系统不再更新修补程序,而且在许多情况下,也不再发布新的安全公告。此外,当受影响的操作系统的标准支持期结束时,一些供应商会从他们的信息源中删除现有的安全公告和检测。在发行版失去供应商的支持后,Amazon ECR 可能不再支持对其进行漏洞扫描。Amazon ECR 针对已停产的操作系统得出的任何调查结果都应仅用于提供信息。下方列出了当前支持的操作系统和版本。
| 操作系统 | 版本 |
|---|---|
| Alpine Linux (Alpine) | 3.20 |
| Alpine Linux (Alpine) | 3.19 |
| Alpine Linux (Alpine) | 3.18 |
| Alpine Linux (Alpine) | 3.17 |
| 亚马逊 Linux (2AL2) | AL2 |
| 亚马逊 Linux 2023 (AL2023) | AL2023 |
| Debian 服务器 (Bookworm) | 12 |
| Debian 服务器 (Bullseye) | 11 |
| Oracle Linux (Oracle) | 9 |
| Oracle Linux (Oracle) | 8 |
| Oracle Linux (Oracle) | 7 |
| Ubuntu(Lunar) | 23.04 |
| Ubuntu (Jammy) | 22.04 () LTS |
| Ubuntu (Focal) | 20.04 () LTS |
| Ubuntu (Bionic) | 18.04 () ESM |
| Ubuntu (Xenial) | 16.04 () ESM |
| 红帽企业 Linux (RHEL) | 9 |
| 红帽企业 Linux (RHEL) | 8 |
