Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Scansiona le immagini per individuare le vulnerabilità del sistema operativo in Amazon ECR
La scansione di base di Amazon ECR utilizza la tecnologia AWS nativa per scansionare le immagini dei container alla ricerca di vulnerabilità del software. La scansione di base consente il rilevamento delle vulnerabilità su un'ampia gamma di sistemi operativi più diffusi, attingendo a più di 50 feed di dati per generare rilevazioni di vulnerabilità ed esposizioni comuni (). CVEs Queste fonti includono avvisi di sicurezza dei fornitori, feed di dati, feed di intelligence sulle minacce, nonché il National Vulnerability Database (NVD) e MITRE.
La scansione di base di Amazon ECR è supportata in tutte le regioni elencate in AWS
Servizi per regione
Amazon ECR utilizza la severity di un CVE dalla fonte di distribuzione upstream, se disponibile. Altrimenti, viene usato il punteggio CVSS (Common Vulnerability Scoring System). Il punteggio CVSS può essere utilizzato per ottenere il livello di gravità della vulnerabilità NVD. Per ulteriori informazioni, consulta NVD Vulnerability Severity Ratings
La scansione di base di Amazon ECR supporta filtri per specificare quali repository scansionare in modalità push. Tutti i repository che non corrispondono a un filtro Scan on Push sono impostati sulla frequenza di scansione manuale, il che significa che è necessario avviare la scansione manualmente. Un'immagine può essere scansionata una volta ogni 24 ore. Le 24 ore includono la scansione iniziale su push, se configurata, e le eventuali scansioni manuali. Con la scansione di base, è possibile scansionare fino a 100.000 immagini ogni 24 ore in un determinato registro.
I risultati delle ultime scansioni completate delle immagini possono essere recuperati per ogni immagine. Una volta completata la scansione dell'immagine, Amazon ECR invia un evento ad Amazon EventBridge. Per ulteriori informazioni, consulta Eventi Amazon ECR e EventBridge.
Supporto del sistema operativo per la scansione di base
Come best practice di sicurezza e per una copertura continua, si consiglia di continuare a utilizzare le versioni supportate di un sistema operativo. In conformità alla politica dei fornitori, i sistemi operativi fuori produzione non vengono più aggiornati con patch e, in molti casi, non vengono più rilasciati nuovi avvisi di sicurezza relativi a tali sistemi. Inoltre, alcuni fornitori rimuovono gli avvisi e i rilevamenti di sicurezza esistenti dai propri feed quando un sistema operativo interessato raggiunge la fine del supporto standard. Dopo che una distribuzione perde il supporto del fornitore, Amazon ECR potrebbe non supportare più la scansione alla ricerca di vulnerabilità. Qualsiasi risultato generato da Amazon ECR per un sistema operativo fuori produzione deve essere utilizzato solo a scopo informativo. Per un elenco completo dei sistemi operativi e delle versioni supportati, consulta la sezione Sistemi operativi supportati - Amazon Inspector scan nella Amazon Inspector User Guide.
