Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scansiona le immagini per individuare le vulnerabilità del sistema operativo in Amazon ECR

Amazon ECR offre due versioni di scansione di base che utilizzano il database Common Vulnerabilities and Exposures (): CVEs

Sia la scansione AWS nativa che quella di base Clair sono supportate in tutte le regioni elencate in AWS Servizi per regione, ad eccezione di quelle aggiunte dopo settembre 2024. Poiché il supporto Clair è obsoleto, Clair non sarà supportato in nuove regioni man mano che verranno aggiunte e non sarà più supportato in tutte le regioni a partire dal 1° ottobre 2025.

Amazon ECR utilizza la severità di un CVE proveniente dalla fonte di distribuzione upstream, se disponibile. Altrimenti, viene utilizzato il punteggio Common Vulnerability Scoring System (CVSS). Il punteggio CVSS può essere utilizzato per ottenere il livello di gravità della vulnerabilità NVD. Per ulteriori informazioni, consulta NVD Vulnerability Severity Ratings.

Entrambe le versioni di Amazon ECR Basic Scanning supportano filtri per specificare quali repository scansionare in modalità push. Tutti i repository che non corrispondono a un filtro Scan on Push sono impostati sulla frequenza di scansione manuale, il che significa che è necessario avviare la scansione manualmente. Un'immagine può essere scansionata una volta ogni 24 ore. Le 24 ore includono la scansione iniziale su push, se configurata, e le eventuali scansioni manuali. Con la scansione di base, è possibile scansionare fino a 100.000 immagini ogni 24 ore in un determinato registro. Il limite di 100.000 include sia la scansione iniziale con scansione push che quella manuale, sia su Clair che sulla versione migliorata della scansione di base.

I risultati delle ultime scansioni completate delle immagini possono essere recuperati per ogni immagine. Una volta completata la scansione dell'immagine, Amazon ECR invia un evento ad Amazon EventBridge. Per ulteriori informazioni, consulta Eventi Amazon ECR e EventBridge.

Supporto del sistema operativo per la scansione di base e la scansione di base migliorata

Come best practice di sicurezza e per una copertura continua, si consiglia di continuare a utilizzare le versioni supportate di un sistema operativo. In conformità alla politica dei fornitori, i sistemi operativi fuori produzione non vengono più aggiornati con patch e, in molti casi, non vengono più rilasciati nuovi avvisi di sicurezza relativi a tali sistemi. Inoltre, alcuni fornitori rimuovono gli avvisi e i rilevamenti di sicurezza esistenti dai propri feed quando un sistema operativo interessato raggiunge la fine del supporto standard. Dopo che una distribuzione perde il supporto del fornitore, Amazon ECR potrebbe non supportare più la scansione alla ricerca di vulnerabilità. Qualsiasi risultato generato da Amazon ECR per un sistema operativo fuori produzione deve essere utilizzato solo a scopo informativo. Di seguito sono elencati i sistemi operativi e le versioni attualmente supportati.