Amazon ECR でイメージをスキャンして OS 脆弱性がないか調べる - Amazon ECR
Clair の廃止基本スキャンおよび改善された基本スキャンのオペレーティングシステムサポート

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon ECR でイメージをスキャンして OS 脆弱性がないか調べる

Amazon ECR には、共通脆弱性識別子 (CVE) データベースを使用する 2 つのバージョンの基本スキャンが用意されています。

  • AWS ネイティブ基本スキャン – AWS ネイティブテクノロジーを使用します。これは現在 GA であり、推奨されています。この改善された基本スキャンは、さまざまな人気のオペレーティングシステムにおいてより優れたスキャン結果と脆弱性検出を提供するよう設計されています。これにより、お客様はコンテナイメージのセキュリティをさらに強化できます。すべての新しい顧客レジストリは、デフォルトでこの改善されたバージョンにオプトインされます。

  • Clair 基本スキャン – オープンソースの Clair プロジェクトを使用する旧バージョンの基本スキャン (GitHub の「Clair」を参照してください)。Clair は廃止され、2026 年 2 月 2 日以降サポートされなくなります。

AWS ネイティブスキャンと Clair 基本スキャンは、2024 年 9 月以降に追加されたものについては Clair がサポートされていない点を除いて、リージョンAWS 別のサービスにリストされているすべてのリージョンでサポートされています。詳細については「Clair の廃止」を参照してください。

Amazon ECR では、アップストリームのディストリビューションソースからの CVE の重要度が使用されます (使用可能な場合)。それ以外の場合は、共通脆弱性評価システム (CVSS) のスコアが使用されます。CVSS スコアは、NVD 脆弱性の重大度評価を取得するために使用できます。詳細については、「NVD 脆弱性の重大度」を参照してください。

どちらのバージョンの Amazon ECR 基本スキャンでも、プッシュ時にスキャンするリポジトリを指定するフィルターがサポートされています。プッシュ時のスキャンフィルターと一致しないリポジトリは、手動スキャン頻度に設定されます。つまり、スキャンを手動で開始する必要があります。イメージは 24 時間ごとに 1 回スキャンできます。24 時間には、最初のプッシュ時スキャン (設定されている場合) とすべての手動スキャンが含まれます。基本スキャンでは、特定のレジストリで 24 時間あたり最大 100,000 個のイメージをスキャンできます。100,000 の制限には、Clair と改良されたバージョンの基本スキャンの両方にわたるプッシュ時の初期スキャンと手動スキャンの両方が含まれます。

最後に完了したイメージスキャンの結果は、各イメージに対して取得できます。イメージスキャンが完了すると、Amazon ECR は Amazon EventBridge にイベントを送信します。詳細については、「Amazon ECR イベントと EventBridge」を参照してください。

Clair の廃止

Amazon ECR の Clair は廃止されました。Clair は、2026 年 2 月 2 日まで引き続き使用可能です。ただし、できるだけ早く Clair の使用を AWS ネイティブ基本スキャンに移行することを強くお勧めします。Clair の廃止について知っておくべきことは次のとおりです。

  • 追加された新しいリージョンでは Clair はサポートされておらず、2026 年 2 月 2 日にすべてのリージョンでサポートされなくなります。

  • 2026 年 2 月 2 日以降は Clair スキャンを実行できません。この日付の前に実行したスキャンは、この日以降使用できません。新しいバージョンに切り替えた後、イメージの新しいスキャンをトリガーしてスキャン結果を再生成する必要があります。

  • 2026 年 2 月 2 日の前に Clair とネイティブ基本スキャンを切り替えることができます。

  • Clair を現在セットアップしている場合は、2026 年 2 月 2 日以降、ネイティブ基本スキャンに自動的に切り替わります (切り替えていない場合)。

AWS ネイティブ基本スキャンは、Clair スキャンに以下の追加機能を提供します。

  • ネイティブ基本スキャンががリソースをスキャンする際、A50 を超えるデータフィードをソースとして、共通脆弱性識別子 (CVE) の検出結果が生成されます。これらのソースの例には、ベンダーセキュリティアドバイザーのデータフィードと脅威インテリジェンスフィード、および National Vulnerability Database (NVD) と MITRE が含まれます。

  • ネイティブ基本スキャンは、ソースフィードからの脆弱性データを少なくとも 1 日 1 回更新します。

  • スキャン結果と脆弱性検出は、一般的なオペレーティングシステムの幅広いセットで利用できます (以下を参照)。

改善された基本スキャンに切り替えるには、「Amazon ECR でのイメージに対する改善された基本スキャンへの切り替え」の手順を参照してください。

基本スキャンおよび改善された基本スキャンのオペレーティングシステムサポート

セキュリティのベストプラクティスとして、また継続的なカバレッジのために、サポートされているバージョンのオペレーティングシステムを使い続けることをお勧めします。ベンダーのポリシーに従い、サポートが終了したオペレーティングシステムはパッチによる更新が行われなくなり、多くの場合、新しいセキュリティアドバイザリもリリースされなくなります。さらに、影響を受けるオペレーティングシステムが標準サポートが終了すると、既存のセキュリティアドバイザリと検出情報をフィードから削除するベンダーもあります。ディストリビューションに対するベンダーのサポートがなくなると、Amazon ECR は脆弱性のスキャンをサポートしなくなる可能性があります。サポートが終了したオペレーティングシステムに対して Amazon ECR が生成した結果については、情報提供の目的でのみ使用してください。以下のリストは、現在サポートされているオペレーティングシステムとバージョンを示しています。

オペレーティングシステム バージョン AWS ネイティブベーシック Clair 基本
Alpine Linux (Alpine) 3.19 はい はい
Alpine Linux (Alpine) 3.20 はい はい
Alpine Linux (Alpine) 3.21 はい いいえ
Alpine Linux (Alpine) 3.22 はい いいえ
Alpine Linux (Alpine) 3.23 はい いいえ
AlmaLinux 8 はい いいえ
AlmaLinux 9 はい いいえ
AlmaLinux 10 はい いいえ
Amazon Linux 2 (AL2) AL2 はい はい
Amazon Linux 2023 (AL2023) AL2023 はい はい
Debian サーバー (Bullseye) 11 はい はい
Debian サーバー (Bookworm) 12 はい はい
Debian サーバー (Trixie) 13 はい いいえ
Fedora 41 はい いいえ
OpenSUSE Leap 15.6 はい いいえ
Oracle Linux (Oracle) 8 はい はい
Oracle Linux (Oracle) 9 はい はい
Photon OS 4 はい いいえ
Photon OS 5 はい いいえ
Red Hat Enterprise Linux (RHEL) 8 はい はい
Red Hat Enterprise Linux (RHEL) 9 はい はい
Red Hat Enterprise Linux (RHEL) 10 はい いいえ
Rocky Linux 8 はい いいえ
Rocky Linux 9 はい いいえ
SUSE Linux Enterprise Server (SLES) 15.6 はい いいえ
Ubuntu (Xenial) 16.04 (ESM) はい はい
Ubuntu (Bionic) 18.04 (ESM) はい はい
Ubuntu (Focal) 20.04 (LTS) はい はい
Ubuntu (Jammy) 22.04 (LTS) はい はい
Ubuntu (Noble Numbat) 24.04 はい いいえ
Ubuntu (Oracular Oriole)) 24.10 はい いいえ