Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Escaneo de imágenes para detectar vulnerabilidades de sistema operativo en Amazon ECR
Amazon ECR ofrece dos versiones de análisis básico que utilizan la base de datos de vulnerabilidades y exposiciones comunes (CVEs):
-
AWS escaneo básico nativo: utiliza tecnología AWS nativa, que ahora es GA y se recomienda. Este análisis básico mejorado está diseñado para ofrecer a los clientes mejores resultados de análisis y detección de vulnerabilidades en un amplio conjunto de sistemas operativos populares. Esto permite a los clientes reforzar aún más la seguridad de las imágenes de sus contenedores. Todos los registros de clientes nuevos están incluidos en esta versión mejorada de forma predeterminada.
-
Escaneo básico de Clair: la versión anterior de escaneo básico, que utiliza el proyecto Clair de código abierto (consulte Clair
en). GitHub Clair está obsoleto y dejará de ser compatible a partir del 2 de febrero de 2026.
Tanto el escaneo AWS nativo como el básico de Clair están disponibles en todas las regiones que aparecen en la sección AWS
Servicios por región
Amazon ECR utiliza la gravedad de CVE del origen de distribución ascendente si está disponible. De lo contrario, se utiliza la puntuación del sistema de clasificación de vulnerabilidades comunes (CVSS). La puntuación CVSS se puede utilizar para obtener la calificación de gravedad de vulnerabilidad de NVD. Para obtener más información, consulte NVD Vulnerability Severity Ratings
Ambas versiones del escaneo básico de Amazon ECR admiten filtros para especificar qué repositorios se escanearán al insertar. Todos los repositorios que no coincidan con un filtro de escaneo automático están configurados con la frecuencia de escaneo manual, lo que significa que debe iniciar el escaneo manualmente. Una imagen se puede escanear una vez cada 24 horas. Dentro de esas 24 horas se incluye el escaneo al insertar inicial, si está configurado, y cualquier escaneo manual. Con el análisis básico, es posible analizar hasta 100 000 imágenes cada 24 horas en un registro determinado. El límite de 100 000 incluye el análisis inicial mediante inserción y el análisis manual en Clair y en la versión mejorada del análisis básico.
Para cada imagen se pueden recuperar los últimos resultados del escaneo de imágenes completados. Cuando se completa el escaneo de una imagen, Amazon ECR envía un evento a Amazon EventBridge. Para obtener más información, consulte Eventos de Amazon ECR y EventBridge.
Obsolencia de Clair
Clair en Amazon ECR está obsoleto. Clair seguirá estando disponible para su uso hasta el 2 de febrero de 2026. Sin embargo, recomendamos que haga la transición del uso de Clair al análisis básico nativo de AWS lo antes posible. Esto es lo que debe saber sobre la obsolencia de Clair:
-
Clair no será compatible en las nuevas regiones a medida que se vayan agregando y dejará de ser compatible en algunas regiones a partir del 2 de febrero de 2026.
-
No podrá realizar ningún análisis de Clair a partir del 2 de febrero de 2026, y los que haya realizado antes de esa fecha no estarán disponibles después de esa fecha. Cuando cambie a la nueva versión, tendrá que activar un nuevo análisis de las imágenes para regenerar los resultados del mismo.
-
Antes del 2 de febrero de 2026, puede alternar entre Clair y el análisis básico nativo.
-
Si ya tiene Clair configurado, pasará automáticamente al análisis básico nativo desde el 2 de febrero de 2026 en caso de que no lo haya hecho antes.
AWS El escaneo básico nativo ofrece las siguientes funciones adicionales en comparación con el escaneo Clair:
-
Cuando el escaneo básico nativo escanea los recursos, obtiene más de 50 fuentes de datos para detectar vulnerabilidades y exposiciones comunes ()CVEs. Algunos ejemplos de estas fuentes son los avisos de seguridad de los proveedores, las fuentes de datos y las fuentes de inteligencia de amenazas, así como también la Base de datos nacional de vulnerabilidades (NVD) y MITRE.
-
El análisis básico nativo actualiza los datos de vulnerabilidad de las fuentes al menos una vez al día.
-
Los resultados del análisis y la detección de vulnerabilidades están disponibles en un amplio conjunto de sistemas operativos populares (consulte a continuación).
Para cambiar al análisis básico mejorado, consulte las instrucciones en Cambio al escaneo básico mejorado de imágenes en Amazon ECR.
Soporte del sistema operativo para el escaneo básico y el escaneo básico mejorado
Como práctica recomendada de seguridad y para una cobertura continua, recomendamos seguir utilizando versiones compatibles del sistema operativo. De acuerdo con la política del proveedor, los sistemas operativos discontinuos se han dejado de actualizar con parches y, en muchos casos, ya no se publican avisos de seguridad para ellos. A esto se suma que algunos proveedores eliminan los avisos de seguridad y las detecciones de sus fuentes cuando un sistema operativo afectado alcanza el final de la compatibilidad estándar. Luego de que una distribución pierde el soporte de su proveedor, es posible que Amazon ECR ya no admita escanearla en busca de vulnerabilidades. Todos los resultados que Amazon ECR genere con relación a un sistema operativo retirado tienen fines meramente informativos. A continuación se muestran los sistemas operativos y las versiones que son compatibles actualmente.
| Sistema operativo | Versión | AWS nativo (básico) | Clair básico |
|---|---|---|---|
| Alpine Linux (Alpine) | 3,19 | ||
| Alpine Linux (Alpine) | 3.20 | ||
| Alpine Linux (Alpine) | 3.21 | ||
| Alpine Linux (Alpine) | 3.22 | ||
| Alpine Linux (Alpine) | 3.23 | ||
| AlmaLinux | 8 | ||
| AlmaLinux | 9 | ||
| AlmaLinux | 10 | ||
| Amazon Linux (2AL2) | AL2 | ||
| Amazon Linux 2023 (AL2023) | AL2023 | ||
| Debian Server (Bullseye) | 11 | ||
| Debian Server (Bookworm) | 12 | ||
| Debian Server (Trixie) | 13 | ||
| Fedora | 41 | ||
| OpenSUSE Leap | 15.6 | ||
| Oracle Linux (Oracle) | 8 | ||
| Oracle Linux (Oracle) | 9 | ||
| Photon OS | 4 | ||
| Photon OS | 5 | ||
| Red Hat Enterprise Linux (RHEL) | 8 | ||
| Red Hat Enterprise Linux (RHEL) | 9 | ||
| Red Hat Enterprise Linux (RHEL) | 10 | ||
| Rocky Linux | 8 | ||
| Rocky Linux | 9 | ||
| SUSE Linux Enterprise Server (SLES) | 15.6 | ||
| Ubuntu (Xenial) | 16.04 (ESM) | ||
| Ubuntu (Bionic) | 18.04 (ESM) | ||
| Ubuntu (Focal) | 20.04 (LTS) | ||
| Ubuntu (Jammy) | 22.04 (LTS) | ||
| Ubuntu (Noble Numbat) | 24,04 | ||
| Ubuntu (Oracular Oriole)) | 24.10 |
