Verificar imagens em busca de vulnerabilidades dos pacotes de sistemas operacionais e de linguagens de programação no Amazon ECR - Amazon ECR

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Verificar imagens em busca de vulnerabilidades dos pacotes de sistemas operacionais e de linguagens de programação no Amazon ECR

A verificação avançada do Amazon ECR é uma integração com o Amazon Inspector que permite a verificação de vulnerabilidades para suas imagens de contêiner. Suas imagens de contêiner são verificadas quanto a vulnerabilidades em sistemas operacionais e pacotes de linguagem de programação. Você pode ver as descobertas da verificação com o Amazon ECR e com o Amazon Inspector diretamente. Para obter mais informações sobre o Amazon Inspector, consulte Verificação de imagens de contêiner com o Amazon Inspector no Guia do usuário do Amazon Inspector.

Com a verificação avançada, você pode escolher quais repositórios são configurados para verificação automática e contínua e quais são configurados para verificação ao enviar. Isso é feito com a configuração de filtros de verificação.

Considerações sobre a verificação avançada

Os aspectos a seguir devem ser considerados antes de habilitar a verificação avançada do Amazon ECR.

  • Não há custo adicional do Amazon ECR para usar esse recurso, no entanto, há um custo do Amazon Inspector para a digitalização das suas imagens. Esse recurso está disponível em regiões onde o Amazon Inspector é suportado. Para obter mais informações, consulte:

  • A digitalização aprimorada do Amazon ECR mostra como as imagens são usadas no Amazon EKS e no Amazon ECS. Você pode ver quando as imagens foram usadas pela última vez e identificar quantos clusters usam cada imagem. Essas informações ajudam você a priorizar a correção de vulnerabilidades para imagens usadas ativamente. Você pode determinar rapidamente quais clusters podem ser afetados por vulnerabilidades recém-descobertas. Para obter mais informações sobre como solicitar essas informações e visualizar a resposta, consulte DescribeImageScanFindings.

  • O Amazon Inspector oferece suporte à verificação para sistemas operacionais específicos. Para obter uma lista completa, consulte Sistemas operacionais compatíveis: verificação do Amazon ECR no Guia do usuário do Amazon Inspector.

  • O Amazon Inspector usa uma função do IAM vinculada ao serviço que fornece as permissões necessárias para disponibilizar a verificação avançada para seus repositórios. O perfil do IAM vinculado ao serviço é criado automaticamente pelo Amazon Inspector quando a verificação avançada é ativada para seu registro privado. Para obter mais informações, consulte Usar funções vinculadas ao serviço do Amazon Inspector no Guia do usuário do Amazon Inspector.

  • Quando você ativa inicialmente a digitalização aprimorada para seu registro privado, o Amazon Inspector reconhece apenas as imagens enviadas para o Amazon ECR nos últimos 14 dias, com base na data e hora do envio da imagem. Imagens mais antigas terão o status de verificação SCAN_ELIGIBILITY_EXPIRED. Se desejar que essas imagens sejam verificadas pelo Amazon Inspector, você deverá enviá-las novamente para o seu repositório.

  • Quando a verificação avançada está ativada no registro privado do Amazon ECR, todos os repositórios que correspondem aos filtros de verificação são verificados usando somente a verificação avançada. Todos os repositórios que não corresponderem a um filtro terão uma frequência de digitalização Off, mas não serão verificados. Não há suporte a digitalizações manuais com a digitalização avançada. Para obter mais informações, consulte Filtros para escolher quais repositórios são verificados no Amazon ECR.

  • Se você especificar filtros separados para digitalização em push e digitalização contínua, onde vários filtros correspondem ao mesmo repositório, o Amazon ECR impõe o filtro de digitalização contínua em vez da digitalização no filtro push para esse repositório.

  • Quando a verificação aprimorada é ativada, o Amazon ECR envia um evento para EventBridge quando a frequência de varredura de um repositório é alterada. O Amazon Inspector emite eventos para EventBridge quando uma varredura inicial é concluída e quando uma descoberta de digitalização de imagem é criada, atualizada ou fechada.

Alterar a duração da verificação avançada de imagens no Amazon Inspector

Depois de ativar a digitalização aprimorada, o Amazon ECR digitaliza continuamente imagens recém-enviadas durante a duração configurada. Por padrão, o Amazon Inspector monitora seus repositórios até que as imagens sejam excluídas ou a digitalização aprimorada seja desativada. Você pode configurar a duração da data de envio (até a vida útil) e a duração da nova digitalização no console do Amazon Inspector para atender às necessidades do seu ambiente. Quando a duração do escaneamento de um repositório termina, o status do escaneamento é exibido como. SCAN_ELIGIBILITY_EXPIRED Para obter mais informações sobre como definir as configurações de duração da nova verificação para o Amazon ECR no Amazon Inspector, consulte Configurar a duração da nova verificação do Amazon ECR no Guia do usuário do Amazon Inspector.