翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon ECR でイメージをスキャンしてソフトウェア脆弱性がないか調べる
Amazon ECR イメージスキャンを使用すると、コンテナイメージ内のソフトウェア脆弱性を特定できます。次のスキャンタイプが提供されています。
重要
拡張スキャン、基本スキャン、および改善された基本スキャンバージョンを切り替えると、以前に確立されたスキャンが使用できなくなります。スキャンを再度設定する必要があります。ただし、以前のスキャンバージョンに戻すと、確立済みのスキャンが使用可能になります。
-
拡張スキャン – Amazon ECR は Amazon Inspector と統合され、リポジトリの自動連続スキャンを提供します。コンテナイメージは、オペレーティングシステムとプログラミング言語パッケージの両方の脆弱性についてスキャンされます。新しい脆弱性が発生すると、スキャン結果が更新され、Amazon Inspector は EventBridge にイベントを発行してユーザーに通知します。拡張スキャンでは、以下が提供されます。
-
OS とプログラミング言語パッケージの脆弱性
-
2 つのスキャン頻度: プッシュスキャンと連続スキャン
-
-
基本スキャン – Amazon ECR には、共通脆弱性識別子 (CVEs) データベースを使用する 2 つのバージョンの基本スキャンが用意されています。
-
AWS ネイティブ基本スキャン – AWS ネイティブテクノロジーを使用します。これは現在 GA であり、推奨されています。すべての新しいカスタマーレジストリは、デフォルトでこの改善されたバージョンにオプトインされます。
-
Clair 基本スキャン – オープンソースの Clair プロジェクトを使用し、廃止されました。
ベーシックスキャンでは、プッシュ時にスキャンするようにリポジトリを設定します。手動スキャンを実行すると Amazon ECR によってスキャン結果のリストが提供されます。基本スキャンでは、以下が提供されます。
-
OS スキャン
-
2 つのスキャン頻度: 手動とプッシュ時のスキャン
重要
新しいバージョンの Amazon ECR Basic Scanning では、
DescribeImagesAPI レスポンスのimageScanFindingsSummaryおよびimageScanStatus属性を使用してスキャン結果を返しません。代わりにDescribeImageScanFindingsAPI を使用します。詳細については、「DescribeImageScanFindings」を参照してください。 -
