Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Scansiona le immagini per individuare le vulnerabilità del sistema operativo in Amazon ECR
Amazon ECR offre due versioni di scansione di base che utilizzano il database Common Vulnerabilities and Exposures (): CVEs
-
AWS scansione nativa di base: utilizza la tecnologia AWS nativa, che ora è GA e consigliata. Questa scansione di base migliorata è progettata per fornire ai clienti risultati di scansione migliori e un rilevamento delle vulnerabilità più accurato su un'ampia gamma di sistemi operativi diffusi. Ciò permette ai clienti di rafforzare ulteriormente la sicurezza delle immagini di container. Tutti i nuovi registri dei clienti sono inseriti in questa versione migliorata per impostazione predefinita.
-
Scansione di base di Clair — La versione di scansione di base precedente, che utilizza il progetto Clair open source (vedi Clair su
). GitHub Clair è ora obsoleto e non sarà più supportato a partire dal 2 febbraio 2026.
Sia la scansione AWS nativa che quella di base Clair sono supportate in tutte le regioni elencate in AWS
Servizi per regione
Amazon ECR utilizza la severity di un CVE dalla fonte di distribuzione upstream, se disponibile. Altrimenti, viene usato il punteggio CVSS (Common Vulnerability Scoring System). Il punteggio CVSS può essere utilizzato per ottenere il livello di gravità della vulnerabilità NVD. Per ulteriori informazioni, consulta NVD Vulnerability Severity Ratings
Entrambe le versioni di Amazon ECR Basic Scanning supportano filtri per specificare quali repository scansionare in modalità push. Tutti i repository che non corrispondono a un filtro Scan on Push sono impostati sulla frequenza di scansione manuale, il che significa che è necessario avviare la scansione manualmente. Un'immagine può essere scansionata una volta ogni 24 ore. Le 24 ore includono la scansione iniziale su push, se configurata, e le eventuali scansioni manuali. Con la scansione di base, è possibile scansionare fino a 100.000 immagini ogni 24 ore in un determinato registro. Il limite di 100.000 include sia la scansione iniziale con scansione push che quella manuale, sia su Clair che sulla versione migliorata della scansione di base.
I risultati delle ultime scansioni completate delle immagini possono essere recuperati per ogni immagine. Una volta completata la scansione dell'immagine, Amazon ECR invia un evento ad Amazon EventBridge. Per ulteriori informazioni, consulta Eventi Amazon ECR e EventBridge.
Deprecazione di Clair
Clair in Amazon ECR è obsoleto. Clair sarà ancora disponibile per l'uso fino al 2 febbraio 2026. Tuttavia, ti consigliamo vivamente di passare l'utilizzo di Clair alla scansione di base AWS nativa il prima possibile. Ecco cosa dovresti sapere su Clair Deprecation:
-
Clair non sarà supportato in nuove regioni man mano che verranno aggiunte e non sarà più supportato in nessuna regione a partire dal 2 febbraio 2026.
-
Non potrai eseguire alcuna scansione Clair a partire dal 2 febbraio 2026 e le scansioni eseguite prima di allora non saranno disponibili dopo tale data. Dovrai attivare una nuova scansione delle immagini per rigenerare i risultati della scansione dopo il passaggio alla nuova versione.
-
Prima del 2 febbraio 2026 è possibile passare dalla scansione Clair alla scansione di base nativa e viceversa.
-
Se hai già configurato Clair, passerai automaticamente alla scansione di base nativa a partire dal 2 febbraio 2026, se non l'hai fatto prima.
AWS La scansione di base nativa offre le seguenti funzionalità aggiuntive rispetto alla scansione Clair:
-
Quando la scansione di base nativa analizza le risorse, recupera più di 50 feed di dati per generare risultati su vulnerabilità ed esposizioni comuni (). CVEs Esempi di queste fonti includono avvisi di sicurezza dei fornitori, feed di dati e feed di intelligence sulle minacce, nonché il National Vulnerability Database (NVD) e MITRE.
-
La scansione di base nativa aggiorna i dati sulle vulnerabilità dai feed di origine almeno una volta al giorno.
-
I risultati della scansione e il rilevamento delle vulnerabilità sono disponibili su un'ampia gamma di sistemi operativi più diffusi (vedi sotto).
Per passare alla scansione di base migliorata, vedere le istruzioni all'indirizzoPassaggio alla scansione di base migliorata per le immagini in Amazon ECR.
Supporto del sistema operativo per la scansione di base e la scansione di base migliorata
Come best practice di sicurezza e per una copertura continua, si consiglia di continuare a utilizzare le versioni supportate di un sistema operativo. In conformità alla politica dei fornitori, i sistemi operativi fuori produzione non vengono più aggiornati con patch e, in molti casi, non vengono più rilasciati nuovi avvisi di sicurezza relativi a tali sistemi. Inoltre, alcuni fornitori rimuovono gli avvisi e i rilevamenti di sicurezza esistenti dai propri feed quando un sistema operativo interessato raggiunge la fine del supporto standard. Dopo che una distribuzione perde il supporto del fornitore, Amazon ECR potrebbe non supportare più la scansione alla ricerca di vulnerabilità. Qualsiasi risultato generato da Amazon ECR per un sistema operativo fuori produzione deve essere utilizzato solo a scopo informativo. Di seguito sono elencati i sistemi operativi e le versioni attualmente supportati.
| Sistema operativo | Versione | AWS base nativa | Clair di base |
|---|---|---|---|
| Alpine Linux (Alpine) | 3.19 | ||
| Linux Alpine (Alpine) | 3.20 | ||
| Alpine Linux (Alpine) | 3.21 | ||
| Alpine Linux (Alpine) | 3.22 | ||
| Alpine Linux (Alpine) | 3.23 | ||
| AlmaLinux | 8 | ||
| AlmaLinux | 9 | ||
| AlmaLinux | 10 | ||
| Amazon Linux (2AL2) | AL2 | ||
| Amazon Linux 2023 (AL2023) | AL2023 | ||
| Server Debian (Bullseye) | 11 | ||
| Server Debian (Bookworm) | 12 | ||
| Server Debian (Trixie) | 13 | ||
| Fedora | 41 | ||
| openSUSE Leap | 15.6 | ||
| Oracle Linux (Oracle) | 8 | ||
| Oracle Linux (Oracle) | 9 | ||
| Sistema operativo Photon | 4 | ||
| Sistema operativo Photon | 5 | ||
| Red Hat Enterprise Linux (RHEL) | 8 | ||
| Red Hat Enterprise Linux (RHEL) | 9 | ||
| Red Hat Enterprise Linux (RHEL) | 10 | ||
| Rocky Linux | 8 | ||
| Rocky Linux | 9 | ||
| SUSE Linux Enterprise Server (SLES) | 15.6 | ||
| Ubuntu (Xenial) | 16.04 (SEM) | ||
| Ubuntu (Bionico) | 18.04 (SECONDI) | ||
| Ubuntu (focale) | 20.04 (LITRI) | ||
| Ubuntu (Jammy) | 22.04 (LITRI) | ||
| Ubuntu (Noble Numbat) | 24.04 | ||
| Ubuntu (Oracular Oriole) | 24.10 |
