Verificar imagens quanto a vulnerabilidades do sistema operacional no Amazon ECR - Amazon ECR
Descontinuação do ClairCompatibilidade de sistema operacional com a verificação básica e a verificação básica aprimorada

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Verificar imagens quanto a vulnerabilidades do sistema operacional no Amazon ECR

O Amazon ECR fornece duas versões de escaneamento básico que usam o banco de dados Common Vulnerabilities and Exposures (): CVEs

  • AWS escaneamento básico nativo — usa tecnologia AWS nativa, que agora é GA e recomendada. Essa verificação básica aprimorada foi desenvolvida para fornecer aos clientes resultados de verificação e detecção de vulnerabilidades melhores em um amplo conjunto de sistemas operacionais populares. Isso permite que os clientes fortaleçam ainda mais a segurança de suas imagens de contêiner. Todos os novos registros de clientes são incluídos nesta versão aprimorada por padrão.

  • Escaneamento básico do Clair — A versão anterior do escaneamento básico, que usa o projeto Clair de código aberto (veja Clair em). GitHub O Clair agora está obsoleto e não terá mais suporte a partir de 2 de fevereiro de 2026.

Tanto a digitalização AWS nativa quanto a básica da Clair são suportadas em todas as regiões listadas em AWS Serviços por região, exceto que a Clair não é compatível com aquelas que foram adicionadas após setembro de 2024. Consulte Descontinuação do Clair para obter mais informações.

O Amazon ECR usa a severidade de um CVE da fonte de distribuição upstream, se disponível. Do contrário, é usada a pontuação do Common Vulnerability Scoring System (CVSS). A pontuação do CVSS pode ser usada para obter a classificação de gravidade de vulnerabilidade do NVD. Para obter mais informações, consulte Classificações de gravidade de vulnerabilidade do NVD.

Ambas as versões da verificação básica do Amazon ECR são compatíveis com filtros para especificar quais repositórios devem ser verificados por push. Todos os repositórios que não correspondam a um escaneamento no filtro push são configurados para a frequência de escaneamento manual, o que significa que você deve iniciar o escaneamento manualmente. Uma imagem só pode ser verificada uma vez a cada 24 horas. Essas 24 horas incluem a verificação inicial por push, se configurada, e quaisquer verificações manuais. Com a verificação básica, você pode verificar até 100.000 imagens por 24 horas em um determinado registro. O limite de 100.000 inclui a verificação inicial por push e a manual, tanto no Clair quanto na versão aprimorada da verificação básica.

As últimas descobertas da verificação de imagem concluídas podem ser recuperadas para cada imagem. Quando a digitalização de uma imagem é concluída, o Amazon ECR envia um evento para a Amazon EventBridge. Para obter mais informações, consulte Eventos do Amazon ECR e EventBridge.

Descontinuação do Clair

O Clair no Amazon ECR está obsoleto. O Clair ainda estará disponível para uso até 2 de fevereiro de 2026. No entanto, é altamente recomendável a transição do uso do Clair para a verificação básica nativa da AWS o mais rápido possível. Aqui está o que você deve saber sobre a descontinuação do Clair:

  • Clair não receberá suporte em novas regiões à medida que forem adicionadas e não terá mais suporte em nenhuma região a partir de 2 de fevereiro de 2026.

  • Você não poderá fazer nenhuma verificação do Clair a partir de 2 de fevereiro de 2026 e nenhuma verificação realizada antes dessa data estará disponível após esse período. Você precisará acionar uma nova verificação de suas imagens para regenerar as descobertas da verificação depois de mudar para a nova versão.

  • Antes de 2 de fevereiro de 2026, você pode alternar entre o Clair e a verificação básica nativa.

  • Se você tiver o Clair configurado atualmente, será realizada automaticamente sua transferência para a verificação básica nativa a partir de 2 de fevereiro de 2026, caso você não a tenha feito antes.

AWS O escaneamento básico nativo oferece os seguintes recursos adicionais em relação ao escaneamento Clair:

  • Quando a varredura básica nativa verifica os recursos, ela obtém mais de 50 feeds de dados para gerar descobertas sobre vulnerabilidades e exposições comuns (). CVEs Exemplos do que ela fornece incluem recomendações de segurança de fornecedores, feeds de dados e feeds de inteligência de ameaças, bem como o National Vulnerability Database (NVD) e o MITRE.

  • A verificação básica nativa atualiza os dados de vulnerabilidade dos feeds de origem pelo menos uma vez ao dia.

  • Os resultados da verificação e a detecção de vulnerabilidades estão disponíveis em um amplo conjunto de sistemas operacionais populares (veja abaixo).

Para mudar para a verificação básica aprimorada, consulte as instruções em Mudar para a verificação básica aprimorada de imagens no Amazon ECR.

Compatibilidade de sistema operacional com a verificação básica e a verificação básica aprimorada

Como prática recomendada de segurança e para cobertura contínua, é recomendável continuar usando as versões compatíveis de um sistema operacional. No entanto, de acordo com a política dos provedores, sistemas operacionais descontinuados não são mais atualizados com patches e, em muitos casos, novos avisos de segurança não são mais lançados para eles. Além disso, alguns fornecedores removem os alertas e detecções de segurança existentes de seus feeds quando um sistema operacional afetado chega ao fim do suporte padrão. Quando uma distribuição perde o suporte de seu provedor, o Amazon ECR pode não mais ser compatível com a verificação quanto a vulnerabilidades dessa distribuição. Qualquer descoberta que o Amazon ECR gerar para um sistema operacional descontinuado deverá ser usada apenas para fins informativos. Abaixo estão listados os sistemas operacionais e as versões atualmente compatíveis.

Sistema operacional Versão AWS básico nativo Clair (básica)
Alpine Linux (Alpino) 3.19 Yes (Sim) Yes (Sim)
Alpine Linux (Alpino) 3.20 Yes (Sim) Yes (Sim)
Alpine Linux (Alpino) 3.21 Sim Não
Alpine Linux (Alpino) 3.22 Sim Não
Alpine Linux (Alpino) 3.23 Sim Não
AlmaLinux 8 Sim Não
AlmaLinux 9 Sim Não
AlmaLinux 10 Sim Não
Amazon Linux (2AL2) AL2 Yes (Sim) Yes (Sim)
Amazon Linux 2023 (AL2023) AL2023 Yes (Sim) Yes (Sim)
Servidor Debian (Bullseye) 11 Yes (Sim) Yes (Sim)
Servidor Debian (Bookworm) 12 Yes (Sim) Yes (Sim)
Servidor Debian (Trixie) 13 Sim Não
Fedora 41 Sim Não
OpenSUSE Leap 15,6 Sim Não
Oracle Linux (Oracle) 8 Yes (Sim) Yes (Sim)
Oracle Linux (Oracle) 9 Yes (Sim) Yes (Sim)
SO Photon 4 Sim Não
SO Photon 5 Sim Não
Red Hat Enterprise Linux (RHEL) 8 Yes (Sim) Yes (Sim)
Red Hat Enterprise Linux (RHEL) 9 Yes (Sim) Yes (Sim)
Red Hat Enterprise Linux (RHEL) 10 Sim Não
Rocky Linux 8 Sim Não
Rocky Linux 9 Sim Não
SLES (SUSE Linux Enterprise Server) 15,6 Sim Não
Ubuntu (Xenial) 16.04 (ESM) Yes (Sim) Yes (Sim)
Ubuntu (Biônico) 18.04 (ESM) Yes (Sim) Yes (Sim)
Ubuntu (Focal) 20.04 (LTS) Yes (Sim) Yes (Sim)
Ubuntu (Jammy) 22.04 (LTS) Yes (Sim) Yes (Sim)
Ubuntu (Noble Numbat) 24.04 Sim Não
Ubuntu (Oracular Oriole) 24.10 Sim Não