Amazon ECR でイメージをスキャンして OS の脆弱性を確認する - Amazon ECR

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon ECR でイメージをスキャンして OS の脆弱性を確認する

注記

改善バージョンの基本スキャンを使用することが推奨されます。

Amazon ECR には、共通脆弱性識別子 (CVEs) データベースを使用する 2 つのバージョンのベーシックスキャンが用意されています。

  • AWS ネイティブテクノロジー (AWS_NATIVE) を使用するベーシックスキャンの改善バージョン。

  • オープンソースの Clair プロジェクトを使用する旧バージョンの基本スキャン。Clair の詳細については、「 Clair on GitHub」を参照してください。

Amazon ECR は、利用可能な場合、アップストリームディストリビューションソースからの CVE の重要度を使用します。それ以外の場合は、共通脆弱性評価システム (CVSS) スコアが使用されます。CVSS スコアは、NVD 脆弱性の重要度評価を取得するために使用できます。詳細については、NVD脆弱性重要度評価」を参照してください。

どちらのバージョンの Amazon ECR ベーシックスキャンでも、プッシュ時にスキャンするリポジトリを指定するためのフィルターがサポートされています。プッシュ時スキャンのフィルターと一致しないリポジトリは、スキャン頻度が [手動] に設定されます。これは、スキャンを手動で開始する必要があることを意味します。イメージは 24 時間ごとに 1 回スキャンできます。24 時間には、最初のプッシュ時スキャン (設定されている場合) とすべての手動スキャンが含まれます。

最後に完了したイメージスキャンの結果は、各イメージに対して取得できます。イメージスキャンが完了すると、Amazon ECR はイベントを Amazon EventBridge に送信します。詳細については、「Amazon ECR イベントと EventBridge」を参照してください。

基本スキャンおよび改善された基本スキャンのオペレーティングシステムサポート

セキュリティのベストプラクティスとして、また継続的なカバレッジのために、サポートされているバージョンのオペレーティングシステムを使い続けることをお勧めします。ベンダーのポリシーに従い、サポートが終了したオペレーティングシステムはパッチによる更新が行われなくなり、多くの場合、新しいセキュリティアドバイザリもリリースされなくなります。さらに、影響を受けるオペレーティングシステムが標準サポートが終了すると、既存のセキュリティアドバイザリと検出情報をフィードから削除するベンダーもあります。ディストリビューションがベンダーからサポートを失った後、Amazon ECR は脆弱性のスキャンをサポートしなくなる可能性があります。Amazon ECR が廃止されたオペレーティングシステムに対して生成した検出結果は、情報提供のみを目的として使用してください。以下のリストは、現在サポートされているオペレーティングシステムとバージョンを示しています。

オペレーティングシステム Version
Alpine Linux (Alpine) 3.20
Alpine Linux (Alpine) 3.19
Alpine Linux (Alpine) 3.18
Alpine Linux (Alpine) 3.17
Amazon Linux 2 (AL2) AL2
Amazon Linux 2023 (AL2023) AL2023
Debian サーバー (Bookworm) 12
Debian サーバー (Bullseye) 11
Oracle Linux (Oracle) 9
Oracle Linux (Oracle) 8
Oracle Linux (Oracle) 7
Ubuntu (Lunar) 23.04
Ubuntu (Jammy) 22.04 (LTS)
Ubuntu (Focal) 20.04 (LTS)
Ubuntu (Bionic) 18.04 (ESM)
Ubuntu (Xenial) 16.04 (ESM)
Red Hat Enterprise Linux (RHEL) 9
Red Hat Enterprise Linux (RHEL) 8