本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon ECR 提供兩種使用常見漏洞與暴露 (CVEs) 資料庫的基本掃描版本:
-
AWS 原生基本掃描 - AWS 使用原生技術,現在為 GA 且建議使用。此改善的基本掃描旨在為客戶提供更好的掃描結果,以及在廣泛的熱門作業系統中偵測漏洞。這可讓客戶進一步強化容器映像的安全性。根據預設,所有新客戶註冊都會選擇加入此改進版本。
-
Clair 基本掃描 — 使用開放原始碼 Clair 專案且已棄用的前一個基本掃描版本。如需 Clair 的詳細資訊,請參閱 GitHub 上的 Clair
。
AWS 除了 2024 年 9 月之後新增的 區域外, AWS 服務依區域
如果可用,Amazon ECR 會使用上游分佈來源中 CVE 的嚴重性。否則,會使用通用漏洞評分系統 (CVSS) 分數。CVSS 分數可用於取得 NVD 漏洞嚴重性等級。如需詳細資訊,請參閱 NVD 漏洞嚴重性等級
這兩個版本的 Amazon ECR 基本掃描都支援篩選條件,以指定推送時要掃描的儲存庫。任何不符合推送篩選條件掃描的儲存庫都會設定為手動掃描頻率,這表示您必須手動啟動掃描。影像每 24 小時可以掃描一次。如果已設定,則 24 小時包含推送時的初始掃描,以及任何手動掃描。
可以為每個映像擷取上次完成的映像掃描結果。映像掃描完成時,Amazon ECR 會將事件傳送至 Amazon EventBridge。如需詳細資訊,請參閱Amazon ECR事件和 EventBridge。
作業系統支援基本掃描和改善的基本掃描
作為安全最佳實務,為了持續涵蓋範圍,我們建議您繼續使用支援的作業系統版本。根據廠商政策,已終止的作業系統不會再更新修補程式,而且在許多情況下,不會再為它們發行新的安全建議。此外,有些廠商會在受影響的作業系統達到標準支援結束時,從其饋送中移除現有的安全建議和偵測。分佈失去廠商的支援後,Amazon ECR 可能不再支援掃描其是否有漏洞。Amazon ECR 為已停止的作業系統產生的任何問題清單,都應該僅用於資訊用途。下列是目前支援的作業系統和版本。
作業系統 | 版本 | AWS 原生基本 | Clair 基本 |
---|---|---|---|
Alpine Linux (Alpine) | 3.21 | ||
Alpine Linux (Alpine) | 3.20 | ||
Alpine Linux (Alpine) | 3.19 | ||
Alpine Linux (Alpine) | 3.18 | ||
Amazon Linux 2 (AL2) | AL2 | ||
Amazon Linux 2023(AL2023) | AL2023 | ||
Debian Server (Bookworm) | 12 | ||
Debian Server (Bullseye) | 11 | ||
Oracle Linux (Oracle) | 9 | ||
Oracle Linux (Oracle) | 8 | ||
Oracle Linux (Oracle) | 7 | ||
Ubuntu (Noble) | 24.04 | ||
Ubuntu (Lunar) | 23.04 | ||
Ubuntu (詹米) | 22.04 (LTS) | ||
Ubuntu (焦點) | 20.04 (LTS) | ||
Ubuntu (Bionic) | 18.04 (ESM) | ||
Ubuntu (Xenial) | 16.04 (ESM) | ||
Red Hat Enterprise Linux (RHEL) | 9 | ||
Red Hat Enterprise Linux (RHEL) | 8 |