本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Amazon ECR 中扫描映像是否存在操作系统漏洞
<a name="image-scanning-basic"></a>

Amazon ECR 基本扫描使用 AWS 原生技术来扫描您的容器映像中是否存在软件漏洞。基本扫描可在各种常用操作系统中提供漏洞检测，采购 50 多个数据源来生成常见漏洞和风险暴露的发现（CVEs）。这些来源包括供应商安全公告、数据源、威胁情报源以及国家漏洞数据库 (NVD) 和 MITRE。

[按地区划分的AWS 服务](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)中列出的所有区域都支持 Amazon ECR 基本扫描。

Amazon ECR 使用来自上游分配源的 CVE 的严重性（如果可用）。否则，将使用常见漏洞评分系统（CVSS）评分。CVSS 评分可用于获取 NVD 漏洞严重性评级。有关更多信息，请参阅 [NVD 漏洞严重性评级](https://nvd.nist.gov/vuln-metrics/cvss)。

Amazon ECR 基本扫描支持筛选器，用于指定推送时要扫描哪些存储库。任何与推送扫描过滤器不匹配的存储库都将设置为**手动**扫描频率，这意味着您必须手动开始扫描。每 24 小时扫描一次映像。24 小时包括初始推送时扫描（如已配置）以及任何手动扫描。使用基本扫描，在给定注册表中，您每 24 小时最多可以扫描 100,000 个映像。

可以为每个镜像检索上次完成的镜像扫描结果。图像扫描完成后，Amazon ECR 会向亚马逊 EventBridge发送一个事件。有关更多信息，请参阅 [亚马逊 ECR 事件和 EventBridge](ecr-eventbridge.md)。

## 操作系统支持基本扫描
<a name="image-scan-basic-support-operating-systems"></a>

作为一项安全最佳实践并为了持续提供覆盖，建议您继续使用受支持的操作系统版本。根据供应商政策，停用的操作系统不再更新修补程序，而且在许多情况下，也不再发布新的安全公告。此外，当受影响的操作系统的标准支持期结束时，一些供应商会从他们的信息源中删除现有的安全公告和检测。分发失去其供应商的支持后，Amazon ECR 可能不再支持扫描它是否存在漏洞。Amazon ECR 仍为已停用操作系统生成的所有调查发现都应仅供参考。有关支持的操作系统和版本的完整列表，请参阅 Amazon [Inspector *用户指南中的支持的操作系统-Amazon Inspec* tor 扫描](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-scan-inspector-scan)。

# 在 Amazon ECR 中配置映像的基本扫描
<a name="image-scanning-basic-enabling"></a>

默认情况下，Amazon ECR 为所有私有注册表开启基本扫描。因此，除非您更改了私有注册表上的扫描设置，否则不需要开启基本扫描。

您可以使用以下步骤定义一个或多个推送时扫描筛选条件。

**要为私有注册表开启基本扫描**

1.  [在私有注册表/存储库中打开 Amazon ECR 控制台 https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/private-registry/repositories)

1. 从导航栏中，选择要为其设置扫描配置的区域。

1. 在导航窗格中，选择**私有注册表**、**扫描**。

1. 在 **Scanning configuration**（扫描配置）页面中，为 **Scan type**（扫描类型）选择 **Basic scanning**（基本扫描）。

1. 默认情况下，您的所有存储库都设置为**手动**扫描。您可以选择通过指定**推送时扫描筛选条件**来开启推送时扫描。您可以为所有存储库或单个存储库设置推送时扫描。有关更多信息，请参阅 [用于选择在 Amazon ECR 中扫描哪些存储库的筛选条件](image-scanning-filters.md)。
**注意**  
如果为存储库启用了推送时扫描，则还会对存档后恢复的图像进行扫描。恢复后的图像中将无法使用旧的扫描件。

# 在 Amazon ECR 中手动扫描映像是否存在操作系统漏洞
<a name="manual-scan"></a>

如果您的存储库未配置为**推送时扫描**，则可以手动启动映像扫描。每 24 小时扫描一次映像。24 小时包括初始推送时扫描（如已配置）以及任何手动扫描。

有关扫描镜像时的常见问题的排查详细信息，请参阅 [排查 Amazon ECR 中的映像扫描问题](image-scanning-troubleshooting.md)。

------
#### [ AWS 管理控制台 ]

通过 AWS 管理控制台使用以下步骤开始手动镜像扫描。

1.  [在私有注册表/存储库中打开 Amazon ECR 控制台 https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/private-registry/repositories)

1. 从导航栏中，选择您创建存储库的区域。

1. 在导航窗格中，选择**存储库**。

1. 在**存储库**页面上，选择包含要扫描的镜像的存储库。

1. 在**镜像**页面上，选择要扫描的镜像，然后选择**扫描**。

------
#### [ AWS CLI ]
+ [ start-image-scan](https://docs.aws.amazon.com/cli/latest/reference/ecr/start-image-scan.html) (AWS CLI)

  以下示例使用镜像标签。

  ```
  aws ecr start-image-scan --repository-name name --image-id imageTag=tag_name --region us-east-2
  ```

  以下示例使用镜像摘要。

  ```
  aws ecr start-image-scan --repository-name name --image-id imageDigest=sha256_hash --region us-east-2
  ```

------
#### [ AWS Tools for Windows PowerShell ]
+ [获取-ECRImage ScanFinding](https://docs.aws.amazon.com/powershell/latest/reference/items/Start-ECRImageScan.html) (AWS Tools for Windows PowerShell)

  以下示例使用镜像标签。

  ```
  Start-ECRImageScan -RepositoryName name -ImageId_ImageTag tag_name -Region us-east-2 -Force
  ```

  以下示例使用镜像摘要。

  ```
  Start-ECRImageScan -RepositoryName name -ImageId_ImageDigest sha256_hash -Region us-east-2 -Force
  ```

------

# 检索 Amazon ECR 中基本扫描的调查发现
<a name="describe-scan-findings"></a>

您可以检索上次完成的基本映像扫描的扫描调查发现。已发现的软件漏洞是根据常见漏洞和风险敞口 (CVEs) 数据库按严重程度列出的。

有关扫描镜像时的常见问题的排查详细信息，请参阅 [排查 Amazon ECR 中的映像扫描问题](image-scanning-troubleshooting.md)。

------
#### [ AWS 管理控制台 ]

通过 AWS 管理控制台使用以下步骤检索镜像扫描结果。

**要检索映像扫描调查发现**

1.  [在私有注册表/存储库中打开 Amazon ECR 控制台 https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/private-registry/repositories)

1. 从导航栏中，选择您创建存储库的区域。

1. 在导航窗格中，选择**存储库**。

1. 在**存储库**页面上，选择包含要扫描检索结果的镜像的存储库。

1. 在**映像**页面的**映像标签**列下，选择映像标签以检索扫描调查发现。

------
#### [ AWS CLI ]

使用以下 AWS CLI 命令使用检索图像扫描结果 AWS CLI。您可以使用 `imageTag` 或 ` imageDigest` 指定镜像，这两者都可以使用 [list-images](https://docs.aws.amazon.com/cli/latest/reference/ecr/list-images.html) CLI 命令获取。
+ [ describe-image-scan-findings](https://docs.aws.amazon.com/cli/latest/reference/ecr/describe-image-scan-findings.html) (AWS CLI)

  以下示例使用镜像标签。

  ```
  aws ecr describe-image-scan-findings --repository-name name --image-id imageTag=tag_name --region us-east-2
  ```

  以下示例使用镜像摘要。

  ```
  aws ecr describe-image-scan-findings --repository-name name --image-id imageDigest=sha256_hash --region us-east-2
  ```

------
#### [ AWS Tools for Windows PowerShell ]
+ [获取-ECRImage ScanFinding](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ECRImageScanFinding.html) (AWS Tools for Windows PowerShell)

  以下示例使用镜像标签。

  ```
  Get-ECRImageScanFinding -RepositoryName name -ImageId_ImageTag tag_name -Region us-east-2
  ```

  以下示例使用镜像摘要。

  ```
  Get-ECRImageScanFinding -RepositoryName name -ImageId_ImageDigest sha256_hash -Region us-east-2
  ```

------