使用 Amazon Inspector 扫描 Amazon Elastic Container Registry 容器映像 - Amazon Inspector
Amazon ECR 扫描的扫描行为支持的操作系统和媒体类型

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon Inspector 扫描 Amazon Elastic Container Registry 容器映像

Amazon Inspector 会扫描存储在 Amazon Elastic Container Registry 中的容器映像是否存在软件漏洞,以生成程序包漏洞调查发现。激活 Amazon ECR 扫描后,会将 Amazon Inspector 设置为私有注册表的首选扫描服务。

通过基本扫描,可以将存储库配置为在推送时扫描,也可以执行手动扫描。使用增强扫描,可以在注册表级别扫描操作系统和编程语言程序包漏洞。要 side-by-side比较基本扫描和增强扫描之间的区别,请参阅 Amazon Inspector 常见问题解答

注意

基本扫描服务通过 Amazon ECR 提供并进行计费。有关更多信息,请参阅 Amazon Elastic Container Registry 定价。增强型扫描通过 Amazon Inspector 提供并进行计费。有关更多信息,请参阅 Amazon Inspector 定价

有关如何激活 Amazon ECR 扫描的信息,请参阅激活扫描类型。有关如何查看调查发现的信息,请参阅管理 Amazon Inspector 中的调查发现。有关如何在映像级别查看调查发现的信息,请参阅《Amazon Elastic Container Registry 用户指南》中的映像扫描。您也可以在 “ AWS 服务 不适用于基本扫描” 中管理调查结果,例如AWS Security Hub 和 Amazon EventBridge

本节提供了有关 Amazon ECR 扫描的信息,并介绍了如何为 Amazon ECR 存储库配置增强扫描。

Amazon ECR 扫描的扫描行为

首次激活 ECR 扫描且存储库配置为连续扫描时,Amazon Inspector 会检测到您在 30 天内推送或在过去 90 天内拉取的所有符合条件的映像。然后,Amazon Inspector 会扫描检测到的映像并将其扫描状态设置为 active。只要映像是在过去 90 天内(默认)或在您配置的 ECR 重新扫描持续时间内推送或拉取的,Amazon Inspector 就会继续监控这些映像。有关更多信息,请参阅配置 Amazon ECR 重新扫描持续时间

对于连续扫描,Amazon Inspector 会对以下情况中的容器映像启动新的漏洞扫描:

  • 每当推送新的容器映像时。

  • 每当 Amazon Inspector 在其数据库中添加新的常见脆弱性和风险 (CVE) 项目,并且 CVE 与该容器映像相关时(仅限持续扫描)。

如果您将存储库配置为推送扫描,则只有在推送映像时才会对其进行扫描。

您可以从账户管理页面的容器镜像选项卡中查看上次检查容器镜像是否存在漏洞的时间,也可以使用 ListCoverageAPI。发生以下事件时,Amazon Inspector 会更新 Amazon ECR 映像的上次扫描时间字段:

  • Amazon Inspector 完成对容器映像的初始扫描时。

  • 由于 Amazon Inspector 数据库中添加了影响该容器映像的新的常见脆弱性和风险 (CVE) 项目,因此 Amazon Inspector 重新扫描容器映像时。

支持的操作系统和媒体类型

有关支持的操作系统的信息,请参阅支持的操作系统:使用 Amazon Inspector 执行 Amazon ECR 扫描

Amazon Inspector 对 Amazon ECR 存储库的扫描涵盖以下支持的媒体类型:

  • "application/vnd.docker.distribution.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v1+prettyjws"

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

    注意

    不支持暂存映像和 "application/vnd.docker.distribution.manifest.list.v2+json" 映像。