Scansione delle immagini dei container Amazon ECR con Amazon Inspector - Amazon Inspector
Comportamenti di scansione per la scansione Amazon ECRSistemi operativi e tipi di supporti supportatiConfigurazione della scansione avanzata per i repository Amazon ECRDurata della nuova scansione ECR

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scansione delle immagini dei container Amazon ECR con Amazon Inspector

Amazon Inspector analizza le immagini dei container archiviate in Amazon ECR alla ricerca di vulnerabilità del software per generare risultati di Package Vulnerability. Per informazioni sui tipi di risultati prodotti per questi problemi, consulta. Ricerca dei tipi in Amazon Inspector

Quando attivi le scansioni Amazon Inspector per Amazon ECR, imposti Amazon Inspector come servizio di scansione preferito per il tuo registro privato. Ciò sostituisce la scansione di base predefinita, fornita gratuitamente da Amazon ECR, con la scansione avanzata, fornita e fatturata tramite Amazon Inspector.

La scansione avanzata fornita da Amazon Inspector offre il vantaggio della scansione delle vulnerabilità sia per il sistema operativo che per i pacchetti di linguaggi di programmazione a livello di registro. Puoi esaminare i risultati scoperti utilizzando la scansione avanzata a livello di immagine, per ogni livello dell'immagine, sulla console Amazon ECR. Inoltre, puoi esaminare e utilizzare questi risultati in altri servizi non disponibili per le scansioni di base, AWS Security Hub tra cui Amazon EventBridge. Puoi visualizzare i risultati rilevati dalle scansioni sulla console Amazon Inspector all'indirizzo https://console.aws.amazon.com/inspector/v2/home. Per informazioni su come utilizzare i risultati, consulta. Gestione dei risultati in Amazon Inspector

Per istruzioni sull'attivazione delle scansioni Amazon ECR, consulta. Attivazione di un tipo di scansione

Comportamenti di scansione per la scansione Amazon ECR

Quando attivi per la prima volta la scansione ECR e il tuo repository è configurato per la scansione continua, Amazon Inspector rileva tutte le immagini idonee che hai inviato entro 30 giorni o recuperato negli ultimi 90 giorni. Quindi Amazon Inspector esegue la scansione delle immagini rilevate e ne imposta lo stato di scansione su. active Amazon Inspector continua a monitorare le immagini purché siano state inviate o recuperate negli ultimi 90 giorni (per impostazione predefinita) o entro la durata della nuova scansione ECR configurata. Per ulteriori informazioni, consulta Configurazione della durata della nuova scansione ECR.

Per la scansione continua, Amazon Inspector avvia nuove scansioni di vulnerabilità delle immagini dei container nelle seguenti situazioni:

  • Ogni volta che viene inserita una nuova immagine del contenitore.

  • Ogni volta che Amazon Inspector aggiunge un nuovo elemento CVE (Common Vulnerabilities and Exposures) al suo database e tale CVE è rilevante per l'immagine del contenitore (solo scansione continua).

Se configuri il tuo repository per la scansione on push, le immagini vengono scansionate solo quando vengono inviate.

Puoi verificare l'ultima volta in cui è stata verificata la presenza di vulnerabilità in un'immagine del contenitore dalla scheda Immagini del contenitore nella pagina di gestione dell'account o utilizzando l'API. ListCoverage Amazon Inspector aggiorna il campo Last scanned at di un'immagine Amazon ECR in risposta ai seguenti eventi:

  • Quando Amazon Inspector completa una scansione iniziale dell'immagine di un contenitore.

  • Quando Amazon Inspector esegue nuovamente la scansione di un'immagine del contenitore, è stato aggiunto al database Amazon Inspector un nuovo elemento CVE (Common Vulnerabilities and Exposures) che influisce sull'immagine del contenitore.

Sistemi operativi e tipi di supporti supportati

Per informazioni sui sistemi operativi supportati, vedereSistemi operativi supportati per la scansione Amazon ECR.

Le scansioni di Amazon Inspector dei repository Amazon ECR coprono i seguenti tipi di supporti supportati:

  • "application/vnd.docker.distribution.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v1+prettyjws"

  • "application/vnd.oci.image.manifest.v1+json"

  • "application/vnd.docker.distribution.manifest.v2+json"

    Nota

    Le immagini e le immagini Scratch non sono DockerV2ListMediaType supportate.

Configurazione della scansione avanzata per i repository Amazon ECR

Quando attivi le scansioni di Amazon Inspector per le immagini dei contenitori Amazon ECR, modifichi l'impostazione di configurazione della scansione per il tuo registro privato. Il tipo di scansione per il registro viene modificato dalla scansione di base alla scansione avanzata fornita da Amazon Inspector. Per ulteriori informazioni, consulta la sezione Scansione delle immagini nella guida per l'utente di Amazon ECR.

Puoi gestire le impostazioni per una scansione avanzata a livello di repository in ECR. È possibile scegliere la scansione continua o la scansione immediata per i propri archivi. La scansione continua include scansioni istantanee e scansioni automatiche. La scansione on-push esegue la scansione solo quando inizialmente si invia un'immagine. Per entrambe le opzioni, è possibile affinare l'ambito di scansione tramite filtri di inclusione. Per impostazione predefinita, quando si attiva per la prima volta la scansione avanzata, le impostazioni sono impostate su Scansione continua di tutti gli archivi.

Per configurare le impostazioni di scansione avanzate

  1. Apri la console Amazon ECR all'indirizzo https://console.aws.amazon.com/ecr/.

  2. Nel Regione AWS selettore nell'angolo superiore destro della pagina, seleziona la regione contenente i repository da scansionare.

  3. Nel pannello di navigazione, scegli Registro privato, quindi scegli Scansione.

  4. In Tipo di scansione, assicurati che sia selezionata l'opzione Scansione avanzata. In caso contrario, seleziona Scansione avanzata.

    Per impostazione predefinita, è selezionata l'opzione Scansione continua di tutti i repository che attiva la copertura di scansione completa di Amazon Inspector per tutti i repository.

  5. Deseleziona Scansiona continuamente tutti i repository per filtrare quali repository vengono scansionati in modo continuo o istantaneo.

Per ulteriori informazioni sulla configurazione delle scansioni avanzate, consulta Using enhanced scanning nella guida per l'utente di Amazon ECR.

Configurazione della durata della nuova scansione ECR

L'impostazione della durata della nuova scansione ECR determina per quanto tempo Amazon Inspector monitora continuamente le immagini dei container nei repository. Puoi configurare la durata della nuova scansione per la data di invio e la data di recupero dell'immagine. La durata di scansione predefinita per i nuovi account, inclusi i nuovi account aggiunti a un'organizzazione, è di 90 giorni.

Durata della data di invio dell'immagine

La durata della data di invio delle immagini determina per quanto tempo Amazon Inspector monitora continuamente le immagini dopo che sono state trasferite nei repository dopo l'ultima data di aggiornamento. Le seguenti opzioni sono disponibili come durate di nuova scansione:

  • 14 giorni

  • 30 giorni

  • 60 giorni

  • 90 giorni (impostazione predefinita)

  • 180 giorni

  • Durata

Durata della data di recupero dell'immagine

La durata della data di recupero dell'immagine determina per quanto tempo Amazon Inspector monitora continuamente le immagini dopo l'ultima data di recupero. Le seguenti opzioni sono disponibili come durate di nuova scansione:

  • 14 giorni

  • 30 giorni

  • 60 giorni

  • 90 giorni (impostazione predefinita)

  • 180 giorni

Amazon Inspector continuerà a monitorare e scansionare nuovamente un'immagine purché sia stata inserita o recuperata entro le date push e pull configurate. Se l'immagine non è stata inserita o recuperata entro le date push e pull configurate, Amazon Inspector interrompe il monitoraggio.

Nota

Quando Amazon Inspector interrompe il monitoraggio di un'immagine, imposta il codice di stato della scansione dell'immagine inactive e il codice motivo su. expired Quindi pianifica la chiusura di tutti i risultati associati alle immagini.

Imposta la durata della nuova scansione in base al tuo ambiente. Ad esempio, se crei immagini spesso, scegli una durata di scansione più breve. Allo stesso modo, se utilizzate le immagini per lunghi periodi di tempo, scegliete una durata di scansione più lunga.

Quando configuri la durata della nuova scansione da un account amministratore delegato, Amazon Inspector applica l'impostazione a tutti gli account membri dell'organizzazione.

Per configurare la durata della nuova scansione ECR

  1. Apri la console Amazon Inspector all'indirizzo https://console.aws.amazon.com/inspector/v2/home.

  2. Dal pannello di navigazione, scegli Impostazioni generali, quindi scegli Impostazioni di scansione ECR.

  3. Nelle impostazioni di scansione ECR, in Durata della nuova scansione ECR, scegli la durata della data di invio dell'immagine e la durata della data di estrazione dell'immagine che desideri impostare.

  4. Selezionare Salva. Le nuove impostazioni vengono applicate immediatamente.

Nota

Se aumenti la durata della data push, Amazon Inspector applica la modifica a tutte le immagini scansionate attivamente nei repository configurati per la scansione continua. Tuttavia, le immagini inattive rimangono inattive, anche se le hai inserite entro la nuova durata.