本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 掃描映像是否有 Amazon ECR 中的作業系統漏洞
<a name="image-scanning-basic"></a>

Amazon ECR AWS 基本掃描使用原生技術來掃描容器映像是否有軟體漏洞。基本掃描可跨廣泛的熱門作業系統提供漏洞偵測，取得超過 50 個資料摘要，以產生常見漏洞和暴露 (CVEs) 的問題清單。這些來源包括廠商安全建議、資料饋送、威脅情報饋送，以及國家漏洞資料庫 (NVD) 和 MITRE。

[AWS 依區域列出的](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)所有區域都支援 Amazon ECR 基本掃描。

若有，Amazon ECR 會使用上游分發來源提供的 CVE 嚴重性程度。若無，則會使用通用漏洞評分系統 (CVSS) 分數。CVSS 分數可用於取得 NVD 漏洞嚴重性等級。如需詳細資訊，請參閱 [NVD 漏洞嚴重性等級](https://nvd.nist.gov/vuln-metrics/cvss)。

Amazon ECR 基本掃描支援篩選條件，以指定推送時要掃描的儲存庫。任何不符合推送時掃描篩選條件的儲存庫都會設定為**手動**掃描頻率，這表示您必須手動啟動掃描。影像每 24 小時可以掃描一次。如果已設定，則 24 小時包含推送時的初始掃描，以及任何手動掃描。透過基本掃描，您可以在指定的登錄檔中每 24 小時掃描最多 100，000 張映像。

可以為每個映像擷取上次完成的映像掃描結果。映像掃描完成後，Amazon ECR 會將事件傳送至 Amazon EventBridge。如需詳細資訊，請參閱[Amazon ECR 事件和 EventBridge](ecr-eventbridge.md)。

## 作業系統支援基本掃描
<a name="image-scan-basic-support-operating-systems"></a>

作為安全最佳實務，為了持續涵蓋範圍，我們建議您繼續使用支援的作業系統版本。根據廠商政策，已終止的作業系統不會再使用修補程式更新，而且在許多情況下，不會再為這些作業系統發行新的安全建議。此外，有些廠商會在受影響的作業系統達到標準支援結束時，從其摘要中移除現有的安全建議和偵測。分佈失去廠商的支援後，Amazon ECR 可能不再支援掃描其是否有漏洞。Amazon ECR 為已終止的作業系統產生的任何問題清單都應該僅用於資訊目的。如需支援作業系統和版本的完整清單，請參閱《[Amazon Inspector 使用者指南》中的支援的作業系統 - Amazon Inspector 掃描](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-scan-inspector-scan)。 *Amazon Inspector *

# 在 Amazon ECR 中設定影像的基本掃描
<a name="image-scanning-basic-enabling"></a>

根據預設，Amazon ECR 會為所有私有登錄檔開啟基本掃描。因此，除非您已變更私有登錄檔上的掃描設定，否則不需要開啟基本掃描。

您可以使用下列步驟來定義推送篩選條件的一或多個掃描。

**為您的私有登錄檔開啟基本掃描**

1.  在 https：/[/https://console.aws.amazon.com/ecr/private-registry/repositories](https://console---aws.amazon.com.rproxy.goskope.comecr/private-registry/repositories) 開啟 Amazon ECR 主控台

1. 從導覽列選擇要為其設定掃描組態的區域。

1. 在導覽窗格中，選擇**私有登錄**檔，**掃描**。

1. 在 **Scanning configuration** (掃描組態) 頁面，針對 **Scan type** (掃描類型) 選擇 **Basic scanning** (基本型掃描)。

1. 在預設情況下，系統將所有儲存庫設定為 **Manual** (手動) 掃描。您可選擇設定推送時掃描，方法是指定**推送時掃描篩選條件**。您可以為所有儲存庫或個別儲存庫設定推送時掃描。如需詳細資訊，請參閱[選擇在 Amazon ECR 中掃描哪些儲存庫的篩選條件](image-scanning-filters.md)。
**注意**  
如果針對儲存庫啟用推送時掃描，也會對封存後還原的映像進行掃描。還原的影像將不提供舊的掃描。

# 手動掃描映像是否有 Amazon ECR 中的作業系統漏洞
<a name="manual-scan"></a>

如果您的儲存庫未設定為在**推送時掃描**，您可以手動啟動映像掃描。影像每 24 小時可以掃描一次。如果已設定，則 24 小時包含推送時的初始掃描，以及任何手動掃描。

如需在掃描映像時某些常見問題的故障診斷詳細資訊，請參閱 [對 Amazon ECR 中的映像掃描進行故障診斷](image-scanning-troubleshooting.md)。

------
#### [ AWS 管理主控台 ]

使用下列步驟，利用 AWS 管理主控台以啟動手動映像掃描。

1.  在 https：/[/https://console.aws.amazon.com/ecr/private-registry/repositories](https://console---aws.amazon.com.rproxy.goskope.comecr/private-registry/repositories) 開啟 Amazon ECR 主控台

1. 從導覽列選擇您儲存庫所建立的區域。

1. 在導覽窗格中，選擇 **Repositories** (儲存庫)。

1. 在 **Repositories (儲存庫)** 頁面上，選擇包含要掃描之映像的儲存庫。

1. 在 **Images (映像)** 頁面上，選取要掃描的映像，然後選擇 **Scan (掃描)**。

------
#### [ AWS CLI ]
+ [ start-image-scan](https://docs.aws.amazon.com/cli/latest/reference/ecr/start-image-scan.html) (AWS CLI)

  下列範例使用映像標籤。

  ```
  aws ecr start-image-scan --repository-name name --image-id imageTag=tag_name --region us-east-2
  ```

  下列範例使用映像摘要。

  ```
  aws ecr start-image-scan --repository-name name --image-id imageDigest=sha256_hash --region us-east-2
  ```

------
#### [ AWS Tools for Windows PowerShell ]
+ [ Get-ECRImageScanFinding](https://docs.aws.amazon.com/powershell/latest/reference/items/Start-ECRImageScan.html) (AWS Tools for Windows PowerShell)

  下列範例使用映像標籤。

  ```
  Start-ECRImageScan -RepositoryName name -ImageId_ImageTag tag_name -Region us-east-2 -Force
  ```

  下列範例使用映像摘要。

  ```
  Start-ECRImageScan -RepositoryName name -ImageId_ImageDigest sha256_hash -Region us-east-2 -Force
  ```

------

# 在 Amazon ECR 中擷取基本掃描的問題清單
<a name="describe-scan-findings"></a>

您可以擷取上次完成的基本映像掃描的掃描問題清單。根據 Common Vulnerabilities and Exposures (CVEs) 資料庫，依嚴重性列出發現的軟體漏洞。

如需在掃描映像時某些常見問題的故障診斷詳細資訊，請參閱 [對 Amazon ECR 中的映像掃描進行故障診斷](image-scanning-troubleshooting.md)。

------
#### [ AWS 管理主控台 ]

使用下列步驟以利用 AWS 管理主控台擷取映像掃描結果。

**擷取映像掃描問題清單**

1.  在 https：/[/https://console.aws.amazon.com/ecr/private-registry/repositories](https://console---aws.amazon.com.rproxy.goskope.comecr/private-registry/repositories) 開啟 Amazon ECR 主控台

1. 從導覽列選擇您儲存庫所建立的區域。

1. 在導覽窗格中，選擇 **Repositories** (儲存庫)。

1. 在 **Repositories (儲存庫)** 頁面上，選擇包含要擷取掃描結果之映像的儲存庫。

1. 在**映像**頁面的**映像標籤**欄下，選取要擷取掃描問題清單的映像標籤。

------
#### [ AWS CLI ]

使用以下 AWS CLI 命令，使用 擷取影像掃描問題清單 AWS CLI。您可以使用 `imageTag` 或 ` imageDigest` 指定映像，兩者皆可利用 [list-images](https://docs.aws.amazon.com/cli/latest/reference/ecr/list-images.html) CLI 命令取得。
+ [ describe-image-scan-findings](https://docs.aws.amazon.com/cli/latest/reference/ecr/describe-image-scan-findings.html) (AWS CLI)

  下列範例使用映像標籤。

  ```
  aws ecr describe-image-scan-findings --repository-name name --image-id imageTag=tag_name --region us-east-2
  ```

  下列範例使用映像摘要。

  ```
  aws ecr describe-image-scan-findings --repository-name name --image-id imageDigest=sha256_hash --region us-east-2
  ```

------
#### [ AWS Tools for Windows PowerShell ]
+ [ Get-ECRImageScanFinding](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ECRImageScanFinding.html) (AWS Tools for Windows PowerShell)

  下列範例使用映像標籤。

  ```
  Get-ECRImageScanFinding -RepositoryName name -ImageId_ImageTag tag_name -Region us-east-2
  ```

  下列範例使用映像摘要。

  ```
  Get-ECRImageScanFinding -RepositoryName name -ImageId_ImageDigest sha256_hash -Region us-east-2
  ```

------