使用 Amazon Inspector 掃描 Amazon Elastic Container Registry 容器映像 - Amazon Inspector
Amazon 掃描的ECR掃描行為支援的作業系統和媒體類型

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon Inspector 掃描 Amazon Elastic Container Registry 容器映像

Amazon Inspector 會掃描存放在 Amazon Elastic Container Registry 中的容器映像,尋找軟體漏洞,以產生套件漏洞調查結果。當您啟用 Amazon ECR掃描時,您可以將 Amazon Inspector 設定為私有登錄檔的偏好掃描服務。

透過基本掃描,您可以將儲存庫設定為在推送時掃描或執行手動掃描。透過增強的掃描,您可以在登錄檔層級掃描作業系統和程式設計語言套件漏洞。如需 side-by-side基本和增強型掃描之間的差異比較,請參閱 Amazon Inspector。 FAQ

注意

基本掃描是透過 Amazon 提供和計費ECR。如需詳細資訊,請參閱 Amazon Elastic Container Registry 定價。增強型掃描是透過 Amazon Inspector 提供和計費。如需詳細資訊,請參閱 Amazon Inspector 定價

如需有關如何啟用 Amazon ECR掃描的資訊,請參閱 啟用掃描類型。如需有關如何檢視調查結果的資訊,請參閱 管理 Amazon Inspector 中的發現。如需有關如何在映像層級檢視調查結果的資訊,請參閱 Amazon Elastic Container Registry 使用者指南 中的映像掃描。您也可以在 中管理 AWS 服務 基本掃描不可用的調查結果,例如 AWS Security Hub 和 Amazon EventBridge

本節提供有關 Amazon ECR掃描的資訊,並說明如何設定 Amazon ECR儲存庫的增強型掃描。

Amazon 掃描的ECR掃描行為

當您第一次啟用ECR掃描,且儲存庫已設定為持續掃描時,Amazon Inspector 會偵測您在 30 天內推送或在過去 90 天內提取的所有合格影像。然後,Amazon Inspector 會掃描偵測到的影像,並將其掃描狀態設定為 active。Amazon Inspector 會持續監控影像,只要在過去 90 天內 (預設) 或在您設定的ECR重新掃描持續時間內推送或提取影像。如需詳細資訊,請參閱設定 Amazon ECR重新掃描持續時間。

對於持續掃描,Amazon Inspector 會在下列情況下啟動容器映像的新漏洞掃描:

  • 每當推送新的容器映像時。

  • 每當 Amazon Inspector 將新的常見漏洞和暴險 (CVE) 項目新增至其資料庫,且該項目與該容器映像相關時 CVE (僅限持續掃描)。

如果您在推送掃描時為 設定儲存庫,則只會在推送影像時掃描影像。

您可以從帳戶管理頁面上的容器映像索引標籤,或使用 ,檢查容器映像上次檢查是否有漏洞 ListCoverage API。Amazon Inspector 會更新 Amazon ECR映像欄位的上次掃描,以回應下列事件:

  • 當 Amazon Inspector 完成容器映像的初始掃描時。

  • 當 Amazon Inspector 重新掃描容器映像時,因為會影響該容器映像的新常見漏洞和暴露 (CVE) 項目已新增至 Amazon Inspector 資料庫。

支援的作業系統和媒體類型

如需支援的作業系統的相關資訊,請參閱 支援的作業系統:使用 Amazon Inspector 進行 Amazon ECR掃描

Amazon Inspector 掃描 Amazon ECR 儲存庫涵蓋下列支援的媒體類型:

  • "application/vnd.docker.distribution.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v1+prettyjws"

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

    注意

    不支援抓取映像和"application/vnd.docker.distribution.manifest.list.v2+json"映像。