本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
掃描映像是否有 Amazon ECR 中的作業系統漏洞
Amazon ECR 提供兩種使用 Common Vulnerabilities and Exposures (CVEs) 資料庫的基本掃描版本:
-
AWS 原生基本掃描 – AWS 使用原生技術,現在為 GA 且建議使用。這項改善的基本掃描旨在為客戶提供更好的掃描結果,並在廣泛的熱門作業系統中偵測漏洞。這可讓客戶進一步強化其容器映像的安全性。根據預設,所有新客戶註冊都會選擇加入此改進版本。
-
Clair 基本掃描 – 使用開放原始碼 Clair 專案且已棄用的前一個基本掃描版本。如需 Clair 的詳細資訊,請參閱 GitHub 上的 Clair
。
AWS 依
如果可用,Amazon ECR 會使用上游分佈來源中 CVE 的嚴重性。否則,會使用通用漏洞評分系統 (CVSS) 分數。CVSS 分數可用於取得 NVD 漏洞嚴重性等級。如需詳細資訊,請參閱 NVD 漏洞嚴重性等級
兩個版本的 Amazon ECR 基本掃描都支援篩選條件,以指定推送時要掃描的儲存庫。任何不符合推送時掃描篩選條件的儲存庫都會設定為手動掃描頻率,這表示您必須手動啟動掃描。影像每 24 小時可以掃描一次。如果已設定,則 24 小時包含推送時的初始掃描,以及任何手動掃描。透過基本掃描,您可以在指定的登錄檔中每 24 小時掃描最多 100,000 張映像。100,000 限制包括跨 Clair 的推送和手動掃描初始掃描,以及改善的基本掃描版本。
可以為每個映像擷取上次完成的映像掃描結果。映像掃描完成後,Amazon ECR 會將事件傳送至 Amazon EventBridge。如需詳細資訊,請參閱Amazon ECR 事件和 EventBridge。
作業系統支援基本掃描和改善的基本掃描
作為安全最佳實務和持續涵蓋,我們建議您繼續使用支援的作業系統版本。根據廠商政策,已終止的作業系統不會再使用修補程式更新,而且在許多情況下,不會再為它們發佈新的安全建議。此外,有些廠商會在受影響的作業系統達到標準支援結束時,從其摘要中移除現有的安全建議和偵測。分佈失去廠商的支援後,Amazon ECR 可能不再支援掃描其是否有漏洞。Amazon ECR 為已終止的作業系統產生的任何問題清單都應該僅用於提供資訊。下列是目前支援的作業系統和版本。
| 作業系統 | 版本 | AWS 原生基本 | Clair 基本 |
|---|---|---|---|
| Alpine Linux (Alpine) | 3.18 | ||
| Alpine Linux (Alpine) | 3.19 | ||
| Alpine Linux (Alpine) | 3.20 | ||
| Alpine Linux (Alpine) | 3.21 | ||
| AlmaLinux | 8 | ||
| AlmaLinux | 9 | ||
| Amazon Linux 2 (AL2) | AL2 | ||
| Amazon Linux 2023(AL2023) | AL2023 | ||
| Debian Server (Bookworm) | 12 | ||
| Debian Server (Bullseye) | 11 | ||
| Fedora | 40 | ||
| Fedora | 4.1 | ||
| OpenSUSE 閏 | 15.6 | ||
| Oracle Linux (Oracle) | 9 | ||
| Oracle Linux (Oracle) | 8 | ||
| 光子作業系統 | 4 | ||
| 光子作業系統 | 5 | ||
| Red Hat Enterprise Linux (RHEL) | 8 | ||
| Red Hat Enterprise Linux (RHEL) | 9 | ||
| Rocky Linux | 8 | ||
| Rocky Linux | 9 | ||
| SUSE Linux Enterprise Server (SLES) | 15.6 | ||
| Ubuntu (Xenial) | 16.04 (ESM) | ||
| Ubuntu (Bionic) | 18.04 (ESM) | ||
| Ubuntu (焦點) | 20.04 (LTS) | ||
| Ubuntu (詹米島) | 22.04 (LTS) | ||
| Ubuntu (Noble Numbat) | 24.04 | ||
| Ubuntu (Oracular Oriole)) | 24.10 |
