Amazon ECR でイメージをスキャンして OS 脆弱性がないか調べる

Amazon ECR 基本スキャンでは、 AWS ネイティブテクノロジーを使用してコンテナイメージをスキャンし、ソフトウェアの脆弱性を調べます。ベーシックスキャンは、一般的なオペレーティングシステムの幅広いセットで脆弱性を検出し、50 を超えるデータフィードを調達して、一般的な脆弱性と露出 (CVEs) の検出結果を生成します。これらのソースには、ベンダーのセキュリティアドバイザリ、データフィード、脅威インテリジェンスフィード、国家脆弱性データベース (NVD)、MITRE などがあります。

Amazon ECR 基本スキャンは、「リージョンAWS 別のサービス」に記載されているすべてのリージョンでサポートされています。

Amazon ECR では、アップストリームのディストリビューションソースからの CVE の重要度が使用されます (使用可能な場合)。それ以外の場合は、共通脆弱性評価システム (CVSS) のスコアが使用されます。CVSS スコアは、NVD 脆弱性の重大度評価を取得するために使用できます。詳細については、「NVD 脆弱性の重大度」を参照してください。

Amazon ECR 基本スキャンでは、プッシュ時にスキャンするリポジトリを指定するフィルターがサポートされています。プッシュ時のスキャンフィルターと一致しないリポジトリは、手動スキャン頻度に設定されます。つまり、スキャンを手動で開始する必要があります。イメージは 24 時間ごとに 1 回スキャンできます。24 時間には、最初のプッシュ時スキャン (設定されている場合) とすべての手動スキャンが含まれます。基本スキャンでは、特定のレジストリで 24 時間あたり最大 100,000 個のイメージをスキャンできます。

最後に完了したイメージスキャンの結果は、各イメージに対して取得できます。イメージスキャンが完了すると、Amazon ECR は Amazon EventBridge にイベントを送信します。詳細については、「Amazon ECR イベントと EventBridge」を参照してください。

基本スキャンのオペレーティングシステムのサポート

セキュリティのベストプラクティスとして、また継続的なカバレッジのために、サポートされているバージョンのオペレーティングシステムを使い続けることをお勧めします。ベンダーのポリシーに従い、サポートが終了したオペレーティングシステムはパッチによる更新が行われなくなり、多くの場合、新しいセキュリティアドバイザリもリリースされなくなります。さらに、影響を受けるオペレーティングシステムが標準サポートが終了すると、既存のセキュリティアドバイザリと検出情報をフィードから削除するベンダーもあります。ディストリビューションに対するベンダーのサポートがなくなると、Amazon ECR は脆弱性のスキャンをサポートしなくなる可能性があります。サポートが終了したオペレーティングシステムに対して Amazon ECR が生成した結果については、情報提供の目的でのみ使用してください。サポートされているオペレーティングシステムとバージョンの完全なリストについては、Amazon Inspector ユーザーガイド」の「サポートされているオペレーティングシステム - Amazon Inspector スキャン」を参照してください。 Amazon Inspector

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

結果の取得

基本スキャンの設定