Amazon ECR でイメージをスキャンして OS 脆弱性がないか調べる - Amazon ECR
Clair の廃止基本スキャンおよび改善された基本スキャンのオペレーティングシステムサポート

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon ECR でイメージをスキャンして OS 脆弱性がないか調べる

Amazon ECR には、共通脆弱性識別子 (CVE) データベースを使用する 2 つのバージョンの基本スキャンが用意されています。

  • AWS ネイティブ基本スキャン – AWS ネイティブテクノロジーを使用します。これは現在 GA であり、推奨されています。この改善された基本スキャンは、さまざまな人気のオペレーティングシステムにおいてより優れたスキャン結果と脆弱性検出を提供するよう設計されています。これにより、お客様はコンテナイメージのセキュリティをさらに強化できます。すべての新しい顧客レジストリは、デフォルトでこの改善されたバージョンにオプトインされます。

  • Clair ベーシックスキャン – オープンソースの Clair プロジェクトを使用する以前のベーシックスキャンバージョン (GitHub の Clair を参照)。Clair は廃止され、2026 年 2 月 2 日をもってサポートされなくなります。

AWS ネイティブスキャンと Clair 基本スキャンは、2024 年 9 月以降に追加されたものについては Clair がサポートされていない点を除いて、リージョンAWS 別のサービスにリストされているすべてのリージョンでサポートされています。詳細については「Clair の廃止」を参照してください。

Amazon ECR では、アップストリームのディストリビューションソースからの CVE の重要度が使用されます (使用可能な場合)。それ以外の場合は、共通脆弱性評価システム (CVSS) のスコアが使用されます。CVSS スコアは、NVD 脆弱性の重大度評価を取得するために使用できます。詳細については、「NVD 脆弱性の重大度」を参照してください。

どちらのバージョンの Amazon ECR 基本スキャンでも、プッシュ時にスキャンするリポジトリを指定するフィルターがサポートされています。プッシュ時スキャンのフィルターと一致しないリポジトリは、スキャン頻度が [手動] に設定されます。これは、スキャンを手動で開始する必要があることを意味します。イメージは 24 時間ごとに 1 回スキャンできます。24 時間には、最初のプッシュ時スキャン (設定されている場合) とすべての手動スキャンが含まれます。基本スキャンでは、特定のレジストリで 24 時間あたり最大 100,000 個のイメージをスキャンできます。100,000 の制限には、Clair と改良されたバージョンの基本スキャンの両方で、プッシュ時の初期スキャンと手動スキャンの両方が含まれます。

最後に完了したイメージスキャンの結果は、各イメージに対して取得できます。イメージスキャンが完了すると、Amazon ECR は Amazon EventBridge にイベントを送信します。詳細については、「Amazon ECR イベントと EventBridge」を参照してください。

Clair の廃止

Amazon ECR の Clair は廃止されました。Clair は、2026 年 2 月 2 日まで引き続き使用できます。ただし、できるだけ早く Clair の使用を AWS ネイティブ基本スキャンに移行することを強くお勧めします。Clair の廃止について知っておくべきことは次のとおりです。

  • Clair は、追加された新しいリージョンではサポートされず、2026 年 2 月 2 日をもってどのリージョンでもサポートされなくなります。

  • 2026 年 2 月 2 日以降は Clair スキャンを実行できず、それより前に行ったスキャンはそれ以降は利用できません。新しいバージョンに切り替えた後、イメージの新しいスキャンをトリガーしてスキャン結果を再生成する必要があります。

  • 2026 年 2 月 2 日より前には、Clair とネイティブ基本スキャンを切り替えることができます。

  • Clair を現在セットアップしている場合は、2026 年 2 月 2 日以降、ネイティブ基本スキャンに自動的に切り替わります。

AWS ネイティブ基本スキャンには、Clair スキャンよりも次の追加機能があります。

  • ネイティブ基本スキャンはリソースをスキャンする場合、50 を超えるデータフィードをソースにして、一般的な脆弱性と露出 (CVEs) の検出結果を生成します。これらのソースの例としては、ベンダーのセキュリティアドバイザリ、データフィード、脅威インテリジェンスフィード、国家脆弱性データベース (NVD)、MITRE などがあります。

  • ネイティブ基本スキャンは、ソースフィードの脆弱性データを少なくとも 1 日 1 回更新します。

  • スキャン結果と脆弱性検出は、一般的なオペレーティングシステムの幅広いセットで利用できます (以下を参照)。

改善された基本スキャンに切り替えるには、「」の手順を参照してくださいAmazon ECR でのイメージに対する改善された基本スキャンへの切り替え

基本スキャンおよび改善された基本スキャンのオペレーティングシステムサポート

セキュリティのベストプラクティスとして、また継続的なカバレッジのために、サポートされているバージョンのオペレーティングシステムを使い続けることをお勧めします。ベンダーのポリシーに従い、サポートが終了したオペレーティングシステムはパッチによる更新が行われなくなり、多くの場合、新しいセキュリティアドバイザリもリリースされなくなります。さらに、影響を受けるオペレーティングシステムが標準サポートが終了すると、既存のセキュリティアドバイザリと検出情報をフィードから削除するベンダーもあります。ディストリビューションに対するベンダーのサポートがなくなると、Amazon ECR は脆弱性のスキャンをサポートしなくなる可能性があります。サポートが終了したオペレーティングシステムに対して Amazon ECR が生成した結果については、情報提供の目的でのみ使用してください。以下のリストは、現在サポートされているオペレーティングシステムとバージョンを示しています。

オペレーティングシステム バージョン AWS ネイティブベーシック Clair の基本
Alpine Linux (Alpine) 3.19 はい はい
Alpine Linux (Alpine) 3.20 はい はい
Alpine Linux (Alpine) 3.21 はい いいえ
Alpine Linux (Alpine) 3.22 はい いいえ
Alpine Linux (Alpine) 3.23 はい いいえ
AlmaLinux 8 はい いいえ
AlmaLinux 9 はい いいえ
AlmaLinux 10 はい いいえ
Amazon Linux 2 (AL2) AL2 はい はい
Amazon Linux 2023 (AL2023) AL2023 はい はい
Debian サーバー (Bullseye) 11 はい はい
Debian サーバー (Bookworm) 12 はい はい
Debian サーバー (Trixie) 13 はい いいえ
Fedora 41 はい いいえ
OpenSUSE Leap 15.6 はい いいえ
Oracle Linux (Oracle) 8 はい はい
Oracle Linux (Oracle) 9 はい はい
フォトン OS 4 はい いいえ
フォトン OS 5 はい いいえ
Red Hat Enterprise Linux (RHEL) 8 はい はい
Red Hat Enterprise Linux (RHEL) 9 はい はい
Red Hat Enterprise Linux (RHEL) 10 はい いいえ
Rocky Linux 8 はい いいえ
Rocky Linux 9 はい いいえ
SUSE Linux Enterprise Server (SLES) 15.6 はい いいえ
Ubuntu (Xenial) 16.04 (ESM) はい はい
Ubuntu (Bionic) 18.04 (ESM) はい はい
Ubuntu (Focal) 20.04 (LTS) はい はい
Ubuntu (Jammy) 22.04 (LTS) はい はい
Ubuntu (Noble Numbat) 24.04 はい いいえ
Ubuntu (眼尾骨)) 24.10 はい いいえ