本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
掃描映像是否有 Amazon ECR 中的作業系統漏洞
Amazon ECR 提供兩種使用 Common Vulnerabilities and Exposures (CVEs) 資料庫的基本掃描版本:
-
AWS 原生基本掃描 – AWS 使用原生技術,現在為 GA 且建議使用。這項改善的基本掃描旨在為客戶提供更好的掃描結果,以及在廣泛的熱門作業系統中進行漏洞偵測。這可讓客戶進一步強化其容器映像的安全性。根據預設,所有新客戶註冊都會選擇加入此改進版本。
-
Clair 基本掃描 – 先前的基本掃描版本,使用開放原始碼 Clair 專案 (請參閱 GitHub 上的 Clair
)。Clair 現在已棄用,自 2026 年 2 月 2 日起將不再支援。
依區域列出的所有區域都支援 AWS 原生和 Clair 基本掃描,但 2024 年 9 月之後新增的區域中不支援 Clair。 AWS
如果可用,Amazon ECR 會使用上游分佈來源中 CVE 的嚴重性。否則,會使用通用漏洞評分系統 (CVSS) 分數。CVSS 分數可用於取得 NVD 漏洞嚴重性等級。如需詳細資訊,請參閱 NVD 漏洞嚴重性等級
兩個版本的 Amazon ECR 基本掃描都支援篩選條件,以指定推送時要掃描的儲存庫。任何不符合推送時掃描篩選條件的儲存庫都會設定為手動掃描頻率,這表示您必須手動啟動掃描。影像每 24 小時可以掃描一次。如果已設定,則 24 小時包含推送時的初始掃描,以及任何手動掃描。透過基本掃描,您可以在指定的登錄檔中每 24 小時掃描最多 100,000 張映像。100,000 限制包括跨 Clair 的推送和手動掃描初始掃描,以及改善的基本掃描版本。
可以為每個映像擷取上次完成的映像掃描結果。映像掃描完成後,Amazon ECR 會將事件傳送至 Amazon EventBridge。如需詳細資訊,請參閱Amazon ECR 事件和 EventBridge。
Clair 棄用
Amazon ECR 中的 Clair 已棄用。Clair 仍可使用,直到 2026 年 2 月 2 日為止。不過,強烈建議您盡快將 Clair AWS 使用轉換為原生基本掃描。以下是您應該知道的有關 Clair 棄用的資訊:
-
Clair 自 2026 年 2 月 2 日起,在新增區域時將不再受到支援,也不會在任何區域受到支援。
-
自 2026 年 2 月 2 日起,您將無法執行任何 Clair 掃描,而且在該日期之後,您將無法使用該日期之前執行的任何掃描。切換到新版本後,您必須觸發映像的新掃描,以重新產生掃描調查結果。
-
在 2026 年 2 月 2 日之前,您可以在 Clair 和原生基本掃描之間來回切換。
-
如果您目前已設定 Clair,且之前未這麼做,則自 2026 年 2 月 2 日起會自動切換到原生基本掃描。
AWS 相較於 Clair 掃描,原生基本掃描提供下列其他功能:
-
原生基本掃描掃描資源時,會擷取超過 50 個資料饋送,以產生常見漏洞和暴露 CVEs) 的問題清單。這些來源的範例包括廠商安全建議、資料饋送和威脅情報饋送,以及國家漏洞資料庫 (NVD) 和 MITRE。
-
原生基本掃描至少每天更新一次來源饋送的漏洞資料。
-
掃描結果和漏洞偵測可在廣泛的熱門作業系統中使用 (請參閱下文)。
若要切換到改善的基本掃描,請參閱 的說明切換至改善 Amazon ECR 中影像的基本掃描。
作業系統支援基本掃描和改善的基本掃描
作為安全最佳實務和持續涵蓋,我們建議您繼續使用支援的作業系統版本。根據廠商政策,已終止的作業系統不會再使用修補程式更新,而且在許多情況下,不會再為這些作業系統發行新的安全建議。此外,有些廠商會在受影響的作業系統達到標準支援結束時,從其摘要中移除現有的安全建議和偵測。分佈失去廠商的支援後,Amazon ECR 可能不再支援掃描其是否有漏洞。Amazon ECR 為已終止的作業系統產生的任何問題清單都應該僅用於提供資訊。下列是目前支援的作業系統和版本。
| 作業系統 | 版本 | AWS 原生基本 | Clair 基本 |
|---|---|---|---|
| Alpine Linux (Alpine) | 3.19 | ||
| Alpine Linux (Alpine) | 3.20 | ||
| Alpine Linux (Alpine) | 3.21 | ||
| Alpine Linux (Alpine) | 3.22 | ||
| Alpine Linux (Alpine) | 3.23 | ||
| AlmaLinux | 8 | ||
| AlmaLinux | 9 | ||
| AlmaLinux | 10 | ||
| Amazon Linux 2 (AL2) | AL2 | ||
| Amazon Linux 2023(AL2023) | AL2023 | ||
| Debian Server (Bullseye) | 11 | ||
| Debian Server (Bookworm) | 12 | ||
| Debian Server (Trixie) | 13 | ||
| Fedora | 4.1 | ||
| OpenSUSE 躍進 | 15.6 | ||
| Oracle Linux (Oracle) | 8 | ||
| Oracle Linux (Oracle) | 9 | ||
| 光子作業系統 | 4 | ||
| 光子作業系統 | 5 | ||
| Red Hat Enterprise Linux (RHEL) | 8 | ||
| Red Hat Enterprise Linux (RHEL) | 9 | ||
| Red Hat Enterprise Linux (RHEL) | 10 | ||
| Rocky Linux | 8 | ||
| Rocky Linux | 9 | ||
| SUSE Linux Enterprise Server (SLES) | 15.6 | ||
| Ubuntu (Xenial) | 16.04 (ESM) | ||
| Ubuntu (Bionic) | 18.04 (ESM) | ||
| Ubuntu (焦點) | 20.04 (LTS) | ||
| Ubuntu (詹米島) | 22.04 (LTS) | ||
| Ubuntu (Noble Numbat) | 24.04 | ||
| Ubuntu (Oracular Oriole)) | 24.10 |
