Amazon ECR でイメージをスキャンしてソフトウェアの脆弱性を確認する - Amazon ECR

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon ECR でイメージをスキャンしてソフトウェアの脆弱性を確認する

Amazon ECR イメージスキャンは、コンテナイメージ内のソフトウェアの脆弱性を特定するのに役立ちます。次のスキャンタイプが提供されています。

重要

拡張スキャン、基本スキャン、および改善された基本スキャンの各バージョン間で切り替えると、以前に確立されたスキャンは使用できなくなります。スキャンを再度設定する必要があります。ただし、以前のスキャンバージョンに戻すと、確立済みのスキャンが使用可能になります。

  • 拡張スキャン — Amazon ECR は Amazon Inspector と統合され、リポジトリの自動連続スキャンを提供します。コンテナイメージは、オペレーティングシステムとプログラミング言語パッケージの両方の脆弱性についてスキャンされます。新しい脆弱性が発生すると、スキャン結果が更新され、Amazon Inspector は EventBridge にイベントを発行して通知します。拡張スキャンでは、以下が提供されます。

    • OS およびプログラミング言語のパッケージに関する脆弱性。

    • 2 つのスキャン頻度: プッシュ時スキャンと継続的スキャン。

  • 基本スキャン — Amazon ECR には、共通脆弱性識別子 (CVEs) データベースを使用する基本スキャンの 2 つのバージョンが用意されています。オープンソースの Clair プロジェクトを使用する現在の GA バージョンと、ネイティブ AWS テクノロジーを使用する基本スキャンの改善バージョンです。ベーシックスキャンでは、プッシュ時にスキャンするようにリポジトリを設定するか、手動スキャンを実行することができます。Amazon ECR はスキャン結果のリストを提供します。基本スキャンでは、以下が提供されます。

    • OS スキャン。

    • 2 つのスキャン頻度: 手動スキャンとプッシュ時スキャン。

    重要

    新しいバージョンのベーシックスキャンでは、API imageScanStatusimageScanFindingsSummaryおよび DescribeImages はサポートされていません。これらを表示するには、 API DescribeImageScanFindings を使用します。