翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon ECR でイメージをスキャンして OS の脆弱性を確認する
注記
改善バージョンの基本スキャンを使用することが推奨されます。
Amazon ECR には、共通脆弱性識別子 (CVEs) データベースを使用する 2 つのバージョンのベーシックスキャンが用意されています。
-
AWS ネイティブテクノロジー (AWS_NATIVE) を使用するベーシックスキャンの改善バージョン。
-
オープンソースの Clair プロジェクトを使用する旧バージョンの基本スキャン。Clair の詳細については、「 Clair
on GitHub」を参照してください。
Amazon ECR は、利用可能な場合、アップストリームディストリビューションソースからの CVE の重要度を使用します。それ以外の場合は、共通脆弱性評価システム (CVSS) スコアが使用されます。CVSS スコアは、NVD 脆弱性の重要度評価を取得するために使用できます。詳細については、NVD脆弱性重要度評価
どちらのバージョンの Amazon ECR ベーシックスキャンでも、プッシュ時にスキャンするリポジトリを指定するためのフィルターがサポートされています。プッシュ時スキャンのフィルターと一致しないリポジトリは、スキャン頻度が [手動] に設定されます。これは、スキャンを手動で開始する必要があることを意味します。イメージは 24 時間ごとに 1 回スキャンできます。24 時間には、最初のプッシュ時スキャン (設定されている場合) とすべての手動スキャンが含まれます。
最後に完了したイメージスキャンの結果は、各イメージに対して取得できます。イメージスキャンが完了すると、Amazon ECR はイベントを Amazon EventBridge に送信します。詳細については、「Amazon ECR イベントと EventBridge」を参照してください。
基本スキャンおよび改善された基本スキャンのオペレーティングシステムサポート
セキュリティのベストプラクティスとして、また継続的なカバレッジのために、サポートされているバージョンのオペレーティングシステムを使い続けることをお勧めします。ベンダーのポリシーに従い、サポートが終了したオペレーティングシステムはパッチによる更新が行われなくなり、多くの場合、新しいセキュリティアドバイザリもリリースされなくなります。さらに、影響を受けるオペレーティングシステムが標準サポートが終了すると、既存のセキュリティアドバイザリと検出情報をフィードから削除するベンダーもあります。ディストリビューションがベンダーからサポートを失った後、Amazon ECR は脆弱性のスキャンをサポートしなくなる可能性があります。Amazon ECR が廃止されたオペレーティングシステムに対して生成した検出結果は、情報提供のみを目的として使用してください。以下のリストは、現在サポートされているオペレーティングシステムとバージョンを示しています。
オペレーティングシステム | Version |
---|---|
Alpine Linux (Alpine) | 3.20 |
Alpine Linux (Alpine) | 3.19 |
Alpine Linux (Alpine) | 3.18 |
Alpine Linux (Alpine) | 3.17 |
Amazon Linux 2 (AL2) | AL2 |
Amazon Linux 2023 (AL2023) | AL2023 |
Debian サーバー (Bookworm) | 12 |
Debian サーバー (Bullseye) | 11 |
Oracle Linux (Oracle) | 9 |
Oracle Linux (Oracle) | 8 |
Oracle Linux (Oracle) | 7 |
Ubuntu (Lunar) | 23.04 |
Ubuntu (Jammy) | 22.04 (LTS) |
Ubuntu (Focal) | 20.04 (LTS) |
Ubuntu (Bionic) | 18.04 (ESM) |
Ubuntu (Xenial) | 16.04 (ESM) |
Red Hat Enterprise Linux (RHEL) | 9 |
Red Hat Enterprise Linux (RHEL) | 8 |