イメージスキャン - Amazon ECR

イメージスキャン

Amazon ECR イメージスキャニングは、コンテナイメージ内のソフトウェアの脆弱性を特定するのに役立ちます。次のスキャンタイプが提供されています。

  • 拡張スキャン— Amazon ECR は Amazon Inspector と統合され、リポジトリの自動継続的なスキャンを提供します。コンテナイメージは、オペレーティングシステムとプログラミング言語パッケージの両方の脆弱性についてスキャンされます。新しい脆弱性が発生すると、スキャン結果が更新され、Amazon Inspector は EventBridge にイベントを発行してユーザーに通知します。

  • ベーシックスキャン — Amazon ECR は、オープンソースの Clair プロジェクトの共通脆弱性識別子 (CVE) データベースを使用します。ベーシックスキャンでは、プッシュ時にスキャンするようにリポジトリを設定します。手動スキャンを実行すると Amazon ECR によってスキャン結果のリストが提供されます。

フィルターの使用

プライベートレジストリに対してイメージスキャンタイプが設定されている場合、すべてのリポジトリをスキャンするように指定したり、スキャンするリポジトリをスコープ設定するフィルターを指定したりできます。

基本スキャンが使用されている場合は、プッシュフィルターでスキャンを指定して、新しいイメージがプッシュされたときにイメージスキャンを実行するように設定されるリポジトリを指定できます。プッシュフィルターの基本的スキャンのスキャンと一致しないリポジトリは、マニュアルスキャン頻度に設定されます。これは、スキャンを実行する場合、手動でスキャンをトリガーする必要があります。

強化スキャンが使用されている場合は、プッシュ時のスキャンと連続スキャン用に別々のフィルターを指定できます。拡張スキャンフィルターに一致しないリポジトリでは、スキャンが無効になります。拡張スキャンを使用し、複数のフィルターが同じリポジトリに一致するプッシュ時スキャンと連続スキャンに別々のフィルターを指定すると、Amazon ECR はそのリポジトリのスキャンオンプッシュフィルターに対して連続スキャンフィルターを適用します。

フィルターを指定すると、ワイルドカードを含まないフィルターは、そのフィルターを含むすべてのリポジトリ名と一致します。ワイルドカード (*) を含むフィルターは、リポジトリ名のゼロ文字以上の文字をワイルドカードで置き換える任意のリポジトリ名と一致します。次の表に、リポジトリ名を横軸に表し、フィルターの例を縦軸に指定する例を示します。

prod

repo-prod

prod-repo

repo-prod-repo

prodrepo

prod

はい はい はい はい はい

*prod

はい はい いいえ いいえ いいえ

prod*

はい いいえ はい いいえ はい

*prod*

はい はい はい はい はい

prod*repo

いいえ いいえ はい いいえ はい