Verificação de imagens - Amazon ECR

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Verificação de imagens

Amazon ECR a digitalização de imagens ajuda a identificar vulnerabilidades de software nas suas imagens de recipiente. Amazon ECR utiliza a base de dados de Vulnerabilidades e Exposições Comuns (Common Vulnerabilities and Exposures, CVE) do projeto de código aberto Clair e fornece-lhe uma lista de resultados de scan. Examine as descobertas da verificação para obter informações sobre a segurança das imagens de contêiner que estão sendo implantadas. Para mais informações sobre a Clair, consulte Detenção no GitHub.

O Amazon ECR usa a gravidade de um CVE da fonte de distribuição upstream, se disponível. Caso contrário, usamos a pontuação do Common Vulnerability Scoring System (CVSS – Sistema de pontuação de vulnerabilidade comum). A pontuação do CVSS pode ser usada para obter a classificação de gravidade de vulnerabilidade do NVD. Para obter mais informações, consulte Classificações de gravidade de vulnerabilidade do NVD.

É possível verificar manualmente as imagens de contêiner armazenadas no Amazon ECR, ou configurar seus repositórios para verificar imagens ao enviá-las para um repositório. As últimas descobertas da verificação de imagem concluídas podem ser recuperadas para cada imagem. O Amazon ECR envia um evento para o Amazon EventBridge (anteriormente chamado de Eventos do CloudWatch) quando uma verificação de imagem é concluída. Para obter mais informações, consulte Amazon ECR eventos e EventBridge.

Para obter detalhes de solução de problemas para alguns problemas comuns ao digitalizar imagens, consulte Solução de problemas de verificação de imagem.

Configurar um repositório para verificar ao enviar

Você pode definir as configurações de verificação de imagem para um novo repositório durante a criação ou para um repositório existente. Quando a opção scan on push (verificar ao enviar) estiver habilitada, as imagens serão verificadas depois de serem enviadas para um repositório. Se a opção scan on push (verificar ao enviar) estiver desabilitada em um repositório, você deverá iniciar manualmente cada verificação de imagem para obter os resultados da verificação.

Criar um repositório para verificar ao enviar

Quando um novo repositório é configurado para scan on push (verificar ao enviar), todas as novas imagens enviadas para o repositório serão verificadas. Depois, os resultados da última verificação de imagem concluída poderão ser recuperados. Para obter mais informações, consulte Recuperar descobertas de verificação de imagem.

Para obter as etapas do Console de gerenciamento da AWS, consulte Criar um repositório.

Use o comando a seguir para criar um novo repositório com a opção scan on push (verificar ao enviar) configurada para a imagem.

  • create-repository (AWS CLI)

    aws ecr create-repository --repository-name name --image-scanning-configuration scanOnPush=true --region us-east-2

Use o comando a seguir para criar um novo repositório com a opção scan on push (verificar ao enviar) configurada para a imagem.

  • New-ECRRepository (AWS Tools para Windows PowerShell)

    New-ECRRepository -RepositoryName name -ImageScanningConfiguration_ScanOnPush true -Region us-east-2 -Force

Configurar um repositório existente para verificar ao enviar

Os repositórios existentes podem ser configurados para verificar as imagens quando você as enviar para um repositório. Essa configuração se aplicará a futuros envios de imagens. Depois, os resultados da última verificação de imagem concluída poderão ser recuperados. Para obter mais informações, consulte Recuperar descobertas de verificação de imagem.

Para obter as etapas do Console de gerenciamento da AWS, consulte Editar um repositório.

Use o comando a seguir para editar as configurações de verificação de imagem de um repositório existente.

  • put-image-scanning-configuration (AWS CLI)

    aws ecr put-image-scanning-configuration --repository-name name --image-scanning-configuration scanOnPush=true --region us-east-2
    nota

    Para desativar a opção scan on push (verificar ao enviar) de imagens para um repositório, especifique scanOnPush=false.

Use o comando a seguir para editar as configurações de verificação de imagem de um repositório existente.

  • New-ECRRepository (AWS Tools para Windows PowerShell)

    Write-ECRImageScanningConfiguration -RepositoryName name -ImageScanningConfiguration_ScanOnPush true -Region us-east-2 -Force

Verificar manualmente uma imagem

Você pode iniciar verificações de imagens manualmente quando quiser verificar imagens em repositórios que não estejam configuradas para scan on push (verificar ao enviar). Uma imagem só pode ser verificada uma vez por dia. Esse limite inclui a opção scan on push (verificar ao enviar) inicial, se habilitada, e quaisquer verificações manuais.

Para obter detalhes de solução de problemas para alguns problemas comuns ao digitalizar imagens, consulte Solução de problemas de verificação de imagem.

Use as etapas a seguir para iniciar uma verificação manual de imagem usando o Console de gerenciamento da AWS.

  1. Abra o console do Amazon ECR em https://console.aws.amazon.com/ecr/repositories.

  2. Na barra de navegação, selecione a região na qual criará o seu repositório.

  3. No painel de navegação, escolha Repositories (Repositórios).

  4. Na página Repositories (Repositórios), escolha o repositório que contém a imagem a ser verificada.

  5. Na página Images (Imagens) selecione a imagem a ser verificada e escolha Scan (Verificar).

Use o comando da AWS CLI a seguir para iniciar a verificação manual de uma imagem. É possível especificar uma imagem usando a imageTag ou o imageDigest. Ambos podem ser obtidos usando o comando list-images da CLI.

  • start-image-scan (AWS CLI)

    O exemplo a seguir usa uma tag de imagem.

    aws ecr start-image-scan --repository-name name --image-id imageTag=tag_name --region us-east-2

    O exemplo a seguir usa um resumo de imagem.

    aws ecr start-image-scan --repository-name name --image-id imageDigest=sha256_hash --region us-east-2

Use o comando da AWS Tools para Windows PowerShell a seguir para iniciar a verificação manual de uma imagem. É possível especificar uma imagem usando a ImageId_ImageTag ou o ImageId_ImageDigest. Ambos podem ser obtidos com o comando Get-ECRImage da CLI.

  • Get-ECRImageScanFinding (AWS Tools para Windows PowerShell)

    O exemplo a seguir usa uma tag de imagem.

    Start-ECRImageScan -RepositoryName name -ImageId_ImageTag tag_name -Region us-east-2 -Force

    O exemplo a seguir usa um resumo de imagem.

    Start-ECRImageScan -RepositoryName name -ImageId_ImageDigest sha256_hash -Region us-east-2 -Force

Recuperar descobertas de verificação de imagem

É possível recuperar as descobertas da verificação para a última verificação de imagem concluída. As descobertas listam por gravidade as vulnerabilidades de software que foram descobertas, com base no banco de dados de vulnerabilidades e exposições comuns (CVEs).

Para obter detalhes de solução de problemas para alguns problemas comuns ao digitalizar imagens, consulte Solução de problemas de verificação de imagem.

Use as etapas a seguir para recuperar as descobertas da verificação de imagem usando o Console de gerenciamento da AWS.

  1. Abra o console do Amazon ECR em https://console.aws.amazon.com/ecr/repositories.

  2. Na barra de navegação, selecione a região na qual criará o seu repositório.

  3. No painel de navegação, escolha Repositories (Repositórios).

  4. Na página Repositories (Repositórios), escolha o repositório que contém a imagem para a qual recuperar as descobertas da verificação.

  5. Na página Images (Imagens), na coluna Vulnerabilities (Vulnerabilidades), selecione Details (Detalhes) da imagem para a qual deseja recuperar as descobertas da verificação.

Use o comando da AWS CLI a seguir para recuperar as descobertas de verificação de imagem usando a AWS CLI. É possível especificar uma imagem usando a imageTag ou o imageDigest. Ambos podem ser obtidos usando o comando list-images da CLI.

  • describe-image-scan-findings (AWS CLI)

    O exemplo a seguir usa uma tag de imagem.

    aws ecr describe-image-scan-findings --repository-name name --image-id imageTag=tag_name --region us-east-2

    O exemplo a seguir usa um resumo de imagem.

    aws ecr describe-image-scan-findings --repository-name name --image-id imageDigest=sha256_hash --region us-east-2

Use o comando do AWS Tools para Windows PowerShell a seguir para recuperar as descobertas de verificação de imagem. É possível especificar uma imagem usando a ImageId_ImageTag ou o ImageId_ImageDigest. Ambos podem ser obtidos com o comando Get-ECRImage da CLI.

  • Get-ECRImageScanFinding (AWS Tools para Windows PowerShell)

    O exemplo a seguir usa uma tag de imagem.

    Get-ECRImageScanFinding -RepositoryName name -ImageId_ImageTag tag_name -Region us-east-2

    O exemplo a seguir usa um resumo de imagem.

    Get-ECRImageScanFinding -RepositoryName name -ImageId_ImageDigest sha256_hash -Region us-east-2