Escanee imágenes para detectar vulnerabilidades en los paquetes de lenguajes de programación y sistemas operativos en Amazon ECR - Amazon ECR
Consideraciones del escaneo mejoradoCambio de la duración del análisis mejorado

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Escanee imágenes para detectar vulnerabilidades en los paquetes de lenguajes de programación y sistemas operativos en Amazon ECR

El escaneo mejorado de Amazon ECR es una integración con Amazon Inspector que proporciona análisis de vulnerabilidades para las imágenes de contenedor. Las imágenes de contenedor se analizan en busca de vulnerabilidades de los paquetes de idiomas de programación y sistemas operativos. Puede ver los hallazgos del escaneo tanto con Amazon ECR como con Amazon Inspector directamente. Para obtener información acerca de Amazon Inspector, consulte Escaneo de imágenes de contenedores con Amazon Inspector en la Guía del usuario de Amazon Inspector.

Con el escaneo mejorado, puede elegir qué repositorios están configurados para el escaneo automático y continuo y cuáles están configurados para el escaneo al insertar. Esto se hace configurando filtros de escaneo.

Consideraciones del escaneo mejorado

Antes de habilitar el escaneo mejorado de Amazon ECR, tenga en cuenta lo siguiente.

  • El uso de esta característica no implica costos adicionales por parte de Amazon ECR; sin embargo, sí se generan cargos de Amazon Inspector por el escaneado de las imágenes. Esta característica está disponible en las regiones en las que Amazon Inspector está disponible. Para obtener más información, consulte lo siguiente:

  • El análisis mejorado de Amazon ECR muestra cómo se utilizan las imágenes en Amazon EKS y Amazon ECS. Consulte cuándo se usaron las imágenes por última vez e identifique cuántos clústeres utilizan cada imagen. Esta información permite priorizar la corrección de vulnerabilidades para las imágenes utilizadas activamente. Determine rápidamente los clústeres que podrían verse afectados por las vulnerabilidades descubiertas recientemente. Para obtener más información sobre cómo solicitar esta información y ver la respuesta, consulte DescribeImageScanFindings.

  • Amazon Inspector admite el escaneo de sistemas operativos específicos. Para obtener una lista completa, consulte Sistemas operativos compatibles: escaneo de Amazon ECR en la Guía del usuario de Amazon Inspector.

  • Amazon Inspector utiliza un rol de IAM vinculado a servicios, que proporciona los permisos necesarios para ofrecer un escaneo mejorado de los repositorios. Amazon Inspector crea automáticamente el rol de IAM vinculado a servicios cuando se enciende el escaneo mejorado para su registro privado. Para obtener más información, consulte Uso de roles vinculados a servicios de Amazon Inspector en la Guía del usuario de Amazon Inspector.

  • Al activar por primera vez el escaneo mejorado para su registro privado, Amazon Inspector solo reconoce las imágenes enviadas a Amazon ECR en los últimos 14 días, según la marca de tiempo de inserción de la imagen. Las imágenes más antiguas tendrán el estado de escaneo SCAN_ELIGIBILITY_EXPIRED. Si desea que Amazon Inspector escanee estas imágenes, debe volver a subirlas a su repositorio.

  • Cuando el registro privado de Amazon ECR tiene encendido el escaneo mejorado, todos los repositorios que coinciden con los filtros de escaneo se analizan únicamente mediante el escaneo mejorado. Cualquier repositorio que no coincida con un filtro tendrá una frecuencia de escaneo Off, pero no se escaneará. No se admiten los escaneos manuales mediante escaneo mejorado. Para obtener más información, consulte Filtros para elegir qué repositorios se escanean en Amazon ECR.

  • Si especifica filtros independientes para escanear al insertar y escaneo continuo donde varios filtros coinciden con el mismo repositorio, Amazon ECR aplica el filtro de escaneo continuo sobre el filtro de escaneo al insertar de ese repositorio.

  • Cuando se activa el escaneo mejorado, Amazon ECR envía un evento EventBridge cuando se cambia la frecuencia de escaneo de un repositorio. Amazon Inspector emite eventos EventBridge cuando se completa un escaneo inicial y cuando se crea, actualiza o cierra un hallazgo de escaneo de imágenes.

Cambio de la duración del escaneo mejorado de imágenes en Amazon Inspector

Tras habilitar el análisis mejorado, Amazon ECR continúa el análisis de las imágenes insertadas recientemente durante el tiempo configurado. Por defecto, Amazon Inspector supervisa los repositorios hasta que se eliminen las imágenes o se deshabilite el análisis mejorado. Puede configurar la duración de la fecha de inserción (hasta el ciclo de vida) y la duración del nuevo análisis en la consola de Amazon Inspector para adaptarla a los requisitos del entorno. Cuando transcurre la duración del análisis de un repositorio, su estado se muestra como SCAN_ELIGIBILITY_EXPIRED. Para obtener más información sobre cómo configurar los ajustes de duración del nuevo análisis para Amazon ECR en Amazon Inspector, consulte Configuring the Amazon ECR re-scan duration (Configuración de la duración del nuevo análisis de Amazon ECR) en Amazon Inspector User Guide (Guía del usuario de Amazon Inspector).