Scansiona le immagini per individuare le vulnerabilità del sistema operativo e dei pacchetti del linguaggio di programmazione in Amazon ECR - Amazon ECR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scansiona le immagini per individuare le vulnerabilità del sistema operativo e dei pacchetti del linguaggio di programmazione in Amazon ECR

La scansione avanzata di Amazon ECR è un'integrazione con Amazon Inspector che fornisce la scansione delle vulnerabilità delle immagini dei container. Le immagini di container vengono analizzate alla ricerca di vulnerabilità sia per i sistemi operativi che per i pacchetti del linguaggio di programmazione. Puoi visualizzare direttamente i risultati della scansione sia con Amazon ECR che con Amazon Inspector. Per ulteriori informazioni su Amazon Inspector, consulta la sezione Scansione delle immagini dei container con Amazon Inspector nella Guida per l'utente di Amazon Inspector.

Con la scansione avanzata, è possibile scegliere quali repository sono configurati per la scansione automatica e continua e quali sono configurati per la scansione su push. Questo viene fatto impostando i filtri di scansione.

Considerazioni per le scansioni avanzate

Considera quanto segue prima di abilitare la scansione avanzata di Amazon ECR.

  • Amazon ECR non prevede costi aggiuntivi per l'utilizzo di questa funzione ma Amazon Inspector prevede un costo per la scansione delle immagini. Questa funzionalità è disponibile nelle regioni in cui è supportato Amazon Inspector. Per ulteriori informazioni, consultare:

  • La scansione avanzata di Amazon ECR mostra come vengono utilizzate le immagini su Amazon EKS e Amazon ECS. Puoi vedere quando le immagini sono state utilizzate l'ultima volta e identificare quanti cluster utilizzano ciascuna immagine. Queste informazioni aiutano a dare priorità alla correzione delle vulnerabilità per le immagini utilizzate attivamente. È possibile determinare rapidamente quali cluster potrebbero essere interessati dalle vulnerabilità scoperte di recente. Per ulteriori informazioni su come richiedere queste informazioni e visualizzare la risposta, vedere. DescribeImageScanFindings

  • Amazon Inspector supporta la scansione per sistemi operativi specifici. Per un elenco completo, consulta la sezione Sistemi operativi supportati - Scansione Amazon ECR nella Guida per l'utente di Amazon Inspector.

  • Amazon Inspector utilizza un ruolo IAM collegato al servizio, che fornisce le autorizzazioni necessarie per fornire una scansione avanzata dei repository. Il ruolo IAM collegato al servizio viene creato automaticamente da Amazon Inspector quando è attivata la scansione avanzata del registro privato. Per ulteriori informazioni, consulta la sezione Utilizzo di ruoli collegati ai servizi per Amazon Inspector nella Guida per l'utente di Amazon Inspector.

  • Quando attivi inizialmente la scansione avanzata per il tuo registro privato, Amazon Inspector riconosce solo le immagini inviate ad Amazon ECR negli ultimi 14 giorni, in base al timestamp dell'immagine. Le immagini più vecchie avranno lo stato di scansione SCAN_ELIGIBILITY_EXPIRED. Se desideri che queste immagini vengano scansionate da Amazon Inspector, devi reinserirle nel tuo repository.

  • Quando per il registro privato Amazon ECR è abilitata la scansione avanzata, i repository corrispondenti ai filtri di scansione vengono scansionati solo utilizzando la scansione avanzata. I repository che non corrispondono a un filtro avranno una frequenza di scansione Off, ma non saranno sottoposti a scansione. Le scansioni manuali che utilizzano la scansione avanzata non sono supportate. Per ulteriori informazioni, consulta Filtri per scegliere quali repository scansionare in Amazon ECR.

  • Se si specificano filtri separati per la scansione su push e la scansione continua in cui più filtri corrispondono allo stesso repository, Amazon ECR applica il filtro di scansione continua sul filtro della scansione su push per quel repository.

  • Quando la scansione avanzata è attivata, Amazon ECR invia un evento a EventBridge quando viene modificata la frequenza di scansione di un repository. Amazon Inspector emette eventi EventBridge quando viene completata una scansione iniziale e quando viene creato, aggiornato o chiuso un risultato di scansione di immagini.

Modifica della durata di scansione migliorata per le immagini in Amazon Inspector

Dopo aver abilitato la scansione avanzata, Amazon ECR esegue continuamente la scansione delle immagini appena inviate per la durata configurata. Per impostazione predefinita, Amazon Inspector monitora i tuoi repository fino all'eliminazione delle immagini o alla disattivazione della scansione avanzata. Puoi configurare sia la durata della data di push (fino a Lifetime) sia la durata della nuova scansione nella console Amazon Inspector in base alle esigenze del tuo ambiente. Quando la durata della scansione di un repository è scaduta, lo stato della scansione viene visualizzato come. SCAN_ELIGIBILITY_EXPIRED Per ulteriori informazioni sulla configurazione delle impostazioni della durata della nuova scansione per Amazon ECR in Amazon Inspector, consulta Configuring the Amazon ECR re-scan duration nella Amazon Inspector User Guide.