Scannez les images pour détecter les vulnérabilités du système d'exploitation dans Amazon ECR - Amazon ECR
Clair DeprecationSupport du système d'exploitation pour la numérisation de base et la numérisation de base améliorée

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Scannez les images pour détecter les vulnérabilités du système d'exploitation dans Amazon ECR

Amazon ECR propose deux versions de l'analyse de base qui utilisent la base de données Common Vulnerabilities and Exposures (CVEs) :

  • AWS numérisation de base native : utilise la technologie AWS native, qui est désormais GA et recommandée. Cette analyse de base améliorée est conçue pour fournir aux clients de meilleurs résultats d’analyse et une détection des vulnérabilités sur un large éventail de systèmes d’exploitation courants. Cela permet aux clients de renforcer encore la sécurité des images de leurs conteneurs. Tous les nouveaux registres de clients sont intégrés par défaut à cette version améliorée.

  • Numérisation de base Clair — La version de numérisation de base précédente, qui utilise le projet open source Clair (voir Clair on GitHub). Clair est désormais obsolète et ne sera plus pris en charge à compter du 2 février 2026.

La numérisation AWS native et la numérisation de base de Clair sont prises en charge dans toutes les régions répertoriées dans AWS Services par région, sauf que Clair n'est pas prise en charge pour celles ajoutées après septembre 2024. Pour plus d’informations, consultez Clair Deprecation.

Amazon ECR utilise la gravité d’un CVE de la source de distribution en amont si disponible. Sinon, le score CVSS (Common Vulnerability Scoring System) est utilisé. Le score CVSS peut être utilisé pour obtenir l'évaluation de gravité de la vulnérabilité NVD. Pour en savoir plus, consultez NVD Vulnerability Gravity Ratings.

Les deux versions d'Amazon ECR Basic Scanning prennent en charge les filtres permettant de spécifier les référentiels à analyser en mode push. Tous les référentiels qui ne correspondent pas à un filtre de numérisation en mode push sont définis sur la fréquence d'analyse manuelle, ce qui signifie que vous devez démarrer l'analyse manuellement. Une image peut être numérisée une fois toutes les 24 heures. Les 24 heures incluent le scan initial sur push, si configuré, et tous les scans manuels. Avec la numérisation de base, vous pouvez numériser jusqu'à 100 000 images par 24 heures dans un registre donné. La limite de 100 000 inclut à la fois le scan initial en mode push et le scan manuel, à la fois pour Clair et pour la version améliorée du scan de base.

Vous pouvez récupérer les derniers résultats de numérisation d'image achevée pour chaque image. Lorsqu'une numérisation d'image est terminée, Amazon ECR envoie un événement à Amazon EventBridge. Pour de plus amples informations, veuillez consulter Événements Amazon ECR et EventBridge.

Clair Deprecation

Clair dans Amazon ECR est obsolète. Clair sera toujours disponible jusqu'au 2 février 2026. Cependant, nous vous recommandons vivement de passer dès que possible à votre utilisation de Clair au scan de base AWS natif. Voici ce que vous devez savoir à propos de Clair Deprecation :

  • Clair ne sera pas pris en charge dans les nouvelles régions au fur et à mesure de leur ajout et ne sera plus pris en charge dans aucune région à compter du 2 février 2026.

  • Vous ne pourrez plus effectuer de scans Clair à partir du 2 février 2026, et les scans que vous avez effectués avant cette date ne seront plus disponibles après cette date. Vous devrez déclencher une nouvelle numérisation de vos images pour régénérer les résultats de numérisation une fois que vous serez passé à la nouvelle version.

  • Avant le 2 février 2026, vous pouvez alterner entre Clair et le scan de base natif.

  • Si Clair est actuellement configuré, vous passerez automatiquement à la numérisation de base native à compter du 2 février 2026, si ce n'est pas le cas auparavant.

AWS La numérisation de base native offre les fonctionnalités supplémentaires suivantes par rapport à la numérisation Clair :

  • Lorsque l'analyse de base native analyse les ressources, elle extrait plus de 50 flux de données afin de détecter les vulnérabilités et les risques courants (CVEs). Parmi ces sources, citons les avis de sécurité des fournisseurs, les flux de données et les flux de renseignements sur les menaces, ainsi que la base de données nationale sur les vulnérabilités (NVD) et le MITRE.

  • L'analyse de base native met à jour les données de vulnérabilité issues des flux sources au moins une fois par jour.

  • Les résultats de l'analyse et de la détection des vulnérabilités sont disponibles sur un large éventail de systèmes d'exploitation courants (voir ci-dessous).

Pour passer à la numérisation de base améliorée, consultez les instructions à l'adressePassage à la numérisation de base améliorée pour les images dans Amazon ECR.

Support du système d'exploitation pour la numérisation de base et la numérisation de base améliorée

Pour des raisons de sécurité et pour garantir une couverture continue, nous vous recommandons de continuer à utiliser les versions prises en charge d'un système d'exploitation. Conformément à la politique du fournisseur, les systèmes d'exploitation abandonnés ne sont plus mis à jour avec des correctifs et, dans de nombreux cas, de nouveaux avis de sécurité ne sont plus publiés à leur sujet. En outre, certains fournisseurs suppriment les alertes de sécurité et les détections existantes de leurs flux lorsqu'un système d'exploitation concerné atteint la fin du support standard. Lorsqu'une distribution perd le support de son fournisseur, Amazon ECR peut ne plus prendre en charge l'analyse des vulnérabilités. Tous les résultats générés par Amazon ECR concernant un système d'exploitation abandonné doivent être utilisés à titre informatif uniquement. Vous trouverez ci-dessous la liste des systèmes d'exploitation et des versions actuellement pris en charge.

Système d’exploitation Version AWS base native Clair basique
Alpine Linux (Alpine) 3,19 Oui Oui
Alpine Linux (Alpine) 3,20 Oui Oui
Alpine Linux (Alpine) 3,21 Oui Non
Alpine Linux (Alpine) 3,22 Oui Non
Alpine Linux (Alpine) 3,23 Oui Non
AlmaLinux 8 Oui Non
AlmaLinux 9 Oui Non
AlmaLinux 10 Oui Non
Amazon Linux (2AL2) AL2 Oui Oui
Amazon Linux 2023 (AL2023) AL2023 Oui Oui
Serveur Debian (Bullseye) 11 Oui Oui
Serveur Debian (Bookworm) 12 Oui Oui
Serveur Debian (Trixie) 13 Oui Non
Fedora 41 Oui Non
openSUSE Leap 15,6 Oui Non
Oracle Linux (Oracle) 8 Oui Oui
Oracle Linux (Oracle) 9 Oui Oui
Système d'exploitation Photon 4 Oui Non
Système d'exploitation Photon 5 Oui Non
Red Hat Enterprise Linux (RHEL) 8 Oui Oui
Red Hat Enterprise Linux (RHEL) 9 Oui Oui
Red Hat Enterprise Linux (RHEL) 10 Oui Non
Rocky Linux 8 Oui Non
Rocky Linux 9 Oui Non
SUSE Linux Enterprise Server (SLES) 15,6 Oui Non
Ubuntu (Xenial) 16,04 (ESM) Oui Oui
Ubuntu (Bionic) 18,04 (ESM) Oui Oui
Ubuntu (Focal) 20.04 (LITRES) Oui Oui
Ubuntu (Jammy) 22.04 (LITRES) Oui Oui
Ubuntu (Noble Numbat) 24,04 Oui Non
Ubuntu (Oracle Oriole) 24,10 Oui Non