本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon Inspector 會掃描存放在 Amazon Elastic Container Registry 中的容器映像,找出軟體漏洞,以產生套件漏洞問題清單。啟用 Amazon ECR 掃描時,您會將 Amazon Inspector 設定為私有登錄檔的偏好掃描服務。
透過基本掃描,您可以設定儲存庫在推送時掃描或執行手動掃描。透過增強型掃描,您可以在登錄檔層級掃描作業系統和程式設計語言套件漏洞。如需基本和增強型掃描之間差異的side-by-side比較,請參閱 Amazon Inspector 常見問答集
注意
基本掃描是透過 Amazon ECR 提供和計費。如需詳細資訊,請參閱 Amazon Elastic Container Registry 定價
如需如何啟用 Amazon ECR 掃描的資訊,請參閱 啟用掃描類型。如需如何檢視問題清單的資訊,請參閱 在 Amazon Inspector 中管理問題清單。如需有關如何在映像層級檢視問題清單的資訊,請參閱《Amazon Elastic Container Registry 使用者指南》中的映像掃描。您也可以在 中管理 AWS 服務 無法用於基本掃描的問題清單,例如 AWS Security Hub 和 Amazon EventBridge。
本節提供 Amazon ECR 掃描的相關資訊,並說明如何設定 Amazon ECR 儲存庫的增強型掃描。
Amazon ECR 掃描的掃描行為
當您第一次啟用 ECR 掃描,且儲存庫已設定為持續掃描時,Amazon Inspector 會偵測您在 30 天內推送或在過去 90 天內提取的所有合格映像。然後,Amazon Inspector 會掃描偵測到的映像,並將其掃描狀態設定為 active。只要在過去 90 天內 (預設) 或在您設定的 ECR 重新掃描持續時間內推送或提取映像,Amazon Inspector 就會繼續監控映像。如需詳細資訊,請參閱設定 Amazon ECR 重新掃描持續時間。
對於持續掃描,Amazon Inspector 會在下列情況啟動容器映像的新漏洞掃描:
-
每當推送新的容器映像時。
-
每當 Amazon Inspector 將新的常見漏洞和暴露 (CVE) 項目新增至其資料庫,且該 CVE 與該容器映像相關時 (僅限持續掃描)。
如果您在推送掃描時為 設定儲存庫,則只會在推送影像時掃描影像。
您可以從帳戶管理頁面上的容器映像索引標籤,或使用 ListCoverage API,檢查上次檢查容器映像是否有漏洞。Amazon Inspector 會更新 Amazon ECR 映像的上次掃描欄位,以回應下列事件:
-
當 Amazon Inspector 完成容器映像的初始掃描時。
-
當 Amazon Inspector 重新掃描容器映像時,因為會影響該容器映像的新常見漏洞和暴露 (CVE) 項目已新增至 Amazon Inspector 資料庫。
支援的作業系統和媒體類型
如需支援的作業系統相關資訊,請參閱 支援的作業系統:使用 Amazon Inspector 進行 Amazon ECR 掃描。
Amazon ECR 儲存庫的 Amazon Inspector 掃描涵蓋下列支援的媒體類型:
-
"application/vnd.docker.distribution.manifest.v1+json" -
"application/vnd.docker.distribution.manifest.v1+prettyjws" -
"application/vnd.oci.image.manifest.v1+json" -
"application/vnd.docker.distribution.manifest.v2+json"注意
不支援抓取映像和
"application/vnd.docker.distribution.manifest.list.v2+json"映像。
