翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon ECR でイメージをスキャンして OS 脆弱性がないか調べる

Amazon ECR には、共通脆弱性識別子 (CVE) データベースを使用する 2 つのバージョンの基本スキャンが用意されています。

AWS ネイティブスキャンと Clair 基本スキャンは、2024 年 9 月以降に追加されたリージョンを除き、リージョンAWS 別のサービスにリストされているすべてのリージョンでサポートされています。Clair のサポートは非推奨であるため、Clair は追加された新しいリージョンではサポートされておらず、また 2025 年 10 月 1 日をもってすべてのリージョンでのサポートを停止します。

Amazon ECR では、アップストリームのディストリビューションソースからの CVE の重要度が使用されます (使用可能な場合)。それ以外の場合は、共通脆弱性評価システム (CVSS) のスコアが使用されます。CVSS スコアは、NVD 脆弱性の重大度評価を取得するために使用できます。詳細については、「NVD 脆弱性の重大度」を参照してください。

どちらのバージョンの Amazon ECR 基本スキャンでも、プッシュ時にスキャンするリポジトリを指定するフィルターがサポートされています。プッシュ時スキャンのフィルターと一致しないリポジトリは、スキャン頻度が [手動] に設定されます。これは、スキャンを手動で開始する必要があることを意味します。イメージは 24 時間ごとに 1 回スキャンできます。24 時間には、最初のプッシュ時スキャン (設定されている場合) とすべての手動スキャンが含まれます。基本スキャンでは、特定のレジストリで 24 時間あたり最大 100,000 個のイメージをスキャンできます。100,000 の制限には、Clair と改良されたバージョンの基本スキャンの両方で、プッシュ時の初期スキャンと手動スキャンの両方が含まれます。

最後に完了したイメージスキャンの結果は、各イメージに対して取得できます。イメージスキャンが完了すると、Amazon ECR は Amazon EventBridge にイベントを送信します。詳細については、「Amazon ECR イベントと EventBridge」を参照してください。

基本スキャンおよび改善された基本スキャンのオペレーティングシステムサポート

セキュリティのベストプラクティスとして、また継続的なカバレッジのために、サポートされているバージョンのオペレーティングシステムを使い続けることをお勧めします。ベンダーのポリシーに従い、サポートが終了したオペレーティングシステムはパッチによる更新が行われなくなり、多くの場合、新しいセキュリティアドバイザリもリリースされなくなります。さらに、影響を受けるオペレーティングシステムが標準サポートが終了すると、既存のセキュリティアドバイザリと検出情報をフィードから削除するベンダーもあります。ディストリビューションに対するベンダーのサポートがなくなると、Amazon ECR は脆弱性のスキャンをサポートしなくなる可能性があります。サポートが終了したオペレーティングシステムに対して Amazon ECR が生成した結果については、情報提供の目的でのみ使用してください。以下のリストは、現在サポートされているオペレーティングシステムとバージョンを示しています。