翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon ECR で OS の脆弱性がないかイメージをスキャンする
基本的なスキャン機能が改善された Amazon ECR のプレビューリリースであり、変更される可能性があります。このパブリックプレビューでは、 のみを使用して AWS Management Console 、基本スキャンバージョンの改善をオプトインできます。 |
Amazon ECR には、共通脆弱性識別子 (CVEs) データベースを使用する 2 つのバージョンのベーシックスキャンが用意されています。
-
オープンソースの Clair プロジェクトを使用する現在の GA バージョン。Clair の詳細については、「」の「 Clair
」を参照してください GitHub。 -
AWS ネイティブテクノロジーを使用するベーシックスキャン (プレビュー) の新しく改善されたバージョン。
Amazon ECR は、利用可能な場合、アップストリームディストリビューションソースからの CVE の重要度を使用します。それ以外の場合は、共通脆弱性評価システム (CVSS) スコアが使用されます。CVSS スコアは、NVD 脆弱性の重大度評価を取得するために使用できます。詳細については、「NVD 脆弱性の重大度
どちらのバージョンの Amazon ECR ベーシックスキャンでも、プッシュ時にスキャンするリポジトリを指定するためのフィルターがサポートされています。プッシュ時のスキャンフィルターに一致しないリポジトリは、手動スキャン頻度に設定されます。つまり、スキャンを手動で開始する必要があります。イメージは 24 時間に 1 回スキャンできます。24 時間には、設定されている場合はプッシュ時の最初のスキャンと手動スキャンが含まれます。
最後に完了したイメージスキャンの結果は、各イメージに対して取得できます。イメージスキャンが完了すると、Amazon ECR はイベントを Amazon に送信します EventBridge。詳細については、「Amazon ECR イベントと EventBridge」を参照してください。
基本スキャンを改善するためのリージョンのサポート
基本スキャンの改良バージョンは、以下のリージョンでサポートされています。
-
アジアパシフィック (香港) (
ap-east-1
) -
欧州 (ストックホルム) (
eu-north-1
) -
中東 (バーレーン) (
me-south-1
) -
アジアパシフィック (ムンバイ) (
ap-south-1
) -
欧州 (パリ) (
eu-west-3
) -
AWS GovCloud (米国東部) (
us-gov-east-1
) -
アフリカ (ケープタウン) (
af-south-1
) -
アジアパシフィック (ジャカルタ) (
ap-southeast-3
) -
欧州 (フランクフルト) (
eu-central-1
) -
欧州 (アイルランド) (
eu-west-1
) -
南米 (サンパウロ) (
sa-east-1
) -
米国東部 (オハイオ) (
us-east-2
) -
AWS GovCloud (米国西部) (
us-gov-west-1
) -
アジアパシフィック (東京) (
ap-northeast-1
) -
アジアパシフィック (ソウル) (
ap-northeast-2
) -
アジアパシフィック (大阪) (
ap-northeast-3
) -
欧州 (ミラノ) (
eu-south-1
) -
欧州 (ロンドン) (
eu-west-2
) -
米国東部 (バージニア北部) (
us-east-1
) -
アジアパシフィック (シンガポール) (
ap-southeast-1
) -
アジアパシフィック (シドニー) (
ap-southeast-2
) -
カナダ (中部) (
ca-central-1
) -
米国西部 (北カリフォルニア) (
us-west-1
) -
米国西部 (オレゴン) (
us-west-2
) -
欧州 (チューリッヒ) (
eu-central-2
)
オペレーティングシステムのベーシックスキャンのサポートとベーシックスキャンの改善
セキュリティのベストプラクティスとして、またカバレッジを継続するために、サポートされているバージョンのオペレーティングシステムを引き続き使用することをお勧めします。ベンダーポリシーに従って、廃止されたオペレーティングシステムはパッチで更新されなくなり、多くの場合、新しいセキュリティアドバイザリはリリースされなくなります。さらに、影響を受けるオペレーティングシステムが標準サポートが終了すると、既存のセキュリティアドバイザリと検出情報をフィードから削除するベンダーもあります。ディストリビューションがベンダーからサポートを失った後、Amazon ECR は脆弱性のスキャンをサポートしなくなる可能性があります。Amazon ECR が廃止されたオペレーティングシステムに対して生成した検出結果は、情報提供のみを目的として使用してください。現在サポートされているオペレーティングシステムとバージョンを以下に示します。
オペレーティングシステム | Version |
---|---|
Alpine Linux (Alpine) | 3.19 |
Alpine Linux (Alpine) | 3.18 |
Alpine Linux (Alpine) | 3.17 |
Alpine Linux (Alpine) | 3.16 |
Amazon Linux 2 (AL2) | AL2 |
Amazon Linux 2023 (AL2023) | AL2023 |
CentOS Linux (CentOS) | 7 |
Debian サーバー (Bookworm) | 12 |
Debian サーバー (Bullseye) | 11 |
Debian サーバー (Buster) | 10 |
Oracle Linux (Oracle) | 9 |
Oracle Linux (Oracle) | 8 |
Oracle Linux (Oracle) | 7 |
Ubuntu (ルーナー) | 23.04 |
Ubuntu (Jammy) | 22.04 (LTS) |
Ubuntu (Focal) | 20.04 (LTS) |
Ubuntu (Bionic) | 18.04 (ESM) |
Ubuntu (Xenial) | 16.04 (ESM) |
Ubuntu (Trusty) | 14.04 (ESM) |
Red Hat Enterprise Linux (RHEL) | 7 |
Red Hat Enterprise Linux (RHEL) | 8 |
Red Hat Enterprise Linux (RHEL) | 9 |