本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
镜像扫描
| 改进后的基本扫描功能在 Amazon ECR 的预览版中,可能会发生变化。在此公开预览期间,您只能使用选择 AWS Management Console 加入改进版基本扫描版本。 |
Amazon ECR 镜像扫描有助于识别容器镜像中的软件漏洞。提供以下扫描类型。
重要
在增强扫描、基本扫描和改进的基本扫描版本之间切换将导致先前建立的扫描不再可用。你必须重新设置扫描。但是,如果您切换回以前的扫描版本,则已建立的扫描将可用。
-
增强扫描—Amazon ECR 与 Amazon Inspector 集成以提供对您的存储库的自动连续扫描。扫描容器镜像是否存在操作系统和编程语言包漏洞。当出现新的漏洞时,扫描结果会更新,Amazon Inspector 会发出一个事件 EventBridge 来通知您。增强型扫描提供以下功能:
-
操作系统和编程语言包漏洞。
-
两种扫描频率:按下扫描和连续扫描。
-
-
基本扫描 — Amazon ECR 提供了两个版本的基本扫描,它们使用常见漏洞和暴露 (CVE) 数据库:使用开源 Clair 项目的当前 GA 版本和使用我们原生技术的新改进版基本扫描(预览版)。 AWS 通过基本扫描,您可以将存储库配置为在推送时扫描,也可以执行手动扫描,而 Amazon ECR 会提供扫描结果列表。基本扫描提供以下内容:
-
操作系统扫描。
-
两种扫描频率:手动和按下扫描。
重要
DescribeImagesAPI 中不支持imageScanFindingsSummary新版本的基本扫描。imageScanStatus要查看这些内容,请使用DescribeImageScanFindingsAPI。
-
使用筛选条件
为私有注册表配置镜像扫描后,您可以指定扫描所有存储库,也可以指定筛选条件来限定存储库扫描范围。
使用 basic(基本)扫描时,您可以指定按推送筛选条件进行扫描,以指定将哪些存储库设置为在推送新镜像时进行镜像扫描。对于任何不符合基本扫描的推送筛选条件的存储库,都将设置为 manual(手动)扫描频率,这意味着必须手动触发扫描才能执行扫描。
使用 enhanced(增强)扫描时,您可以为推送扫描和连续扫描分别指定筛选条件。任何不符合增强扫描筛选条件的存储库都将禁用扫描。如果您使用增强扫描并为推送扫描和连续扫描分别指定了筛选条件,并且同一存储库符合多个筛选条件,则 Amazon ECR 会强制执行该存储库的连续扫描筛选条件,而不是推送扫描筛选条件。
指定筛选条件后,没有通配符的筛选条件将匹配包含该筛选条件的所有存储库名称。带通配符 (*) 的筛选条件匹配任何存储库名称,通配符会在其中替换存储库名称中的零个或多个字符。下表提供了示例,其中存储库名称在水平轴上表示,示例筛选条件在垂直轴上指定。
|
prod |
repo-prod |
prod-repo |
repo-prod-repo |
prodrepo |
|
|---|---|---|---|---|---|
|
prod |
|
|
|
|
|
|
*prod |
|
|
|
|
|
|
prod* |
|
|
|
|
|
|
*prod* |
|
|
|
|
|
|
prod*repo |
|
|
|
|
|
