Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Pindai gambar untuk kerentanan perangkat lunak di Amazon ECR
Pemindaian gambar Amazon ECR membantu mengidentifikasi kerentanan perangkat lunak dalam gambar kontainer Anda. Jenis pemindaian berikut ditawarkan.
**penting**
Beralih antara **pemindaian yang ditingkatkan** dan **pemindaian Dasar** akan menyebabkan pemindaian yang telah dibuat sebelumnya tidak lagi tersedia. Anda harus mengatur pemindaian Anda lagi. Namun, jika Anda beralih kembali ke jenis pemindaian sebelumnya, pemindaian yang telah ditetapkan akan tersedia.
**catatan**
Gambar yang diarsipkan tidak dapat dipindai. Gambar yang diarsipkan harus dipulihkan sebelum dapat dipindai. Untuk informasi selengkapnya tentang pengarsipan dan pemulihan gambar, lihat. [Mengarsipkan gambar di Amazon ECR](archive_restore_image.md)
+ **Pemindaian yang disempurnakan** - Amazon ECR terintegrasi dengan Amazon Inspector untuk menyediakan pemindaian otomatis dan berkelanjutan dari repositori Anda. Gambar kontainer Anda dipindai untuk sistem operasi dan kerentanan paket bahasa pemrograman. Saat kerentanan baru muncul, hasil pemindaian diperbarui dan Amazon Inspector memancarkan acara EventBridge untuk memberi tahu Anda. Pemindaian yang disempurnakan memberikan yang berikut:
+ Kerentanan paket OS dan bahasa pemrograman
+ Dua frekuensi pemindaian: Pindai saat push dan pemindaian terus menerus
+ **Pemindaian dasar** — Amazon ECR menggunakan teknologi AWS asli dengan database Common Vulnerabilities and Exposures (CVEs) untuk memindai kerentanan sistem operasi.
Dengan pemindaian dasar, Anda mengonfigurasi repositori untuk memindai saat push atau Anda dapat melakukan pemindaian manual dan Amazon ECR menyediakan daftar temuan pemindaian. Pemindaian dasar menyediakan yang berikut:
+ Pemindaian OS
+ Dua frekuensi pemindaian: Manual dan pemindaian saat push
**penting**
Versi baru Amazon ECR Basic Scanning tidak menggunakan `imageScanStatus` atribut ` imageScanFindingsSummary` dan dari respons `DescribeImages` API untuk mengembalikan hasil pemindaian. Gunakan ` DescribeImageScanFindings` API sebagai gantinya. Untuk informasi selengkapnya, lihat [https://docs.aws.amazon.com/AmazonECR/latest/APIReference/API_DescribeImageScanFindings.html](https://docs.aws.amazon.com/AmazonECR/latest/APIReference/API_DescribeImageScanFindings.html).
# Filter untuk memilih repositori mana yang dipindai di Amazon ECR
Saat Anda mengonfigurasi pemindaian gambar untuk registri pribadi Anda, Anda dapat menggunakan filter untuk memilih repositori mana yang dipindai.
Saat pemindaian **dasar** digunakan, Anda dapat menentukan pemindaian pada filter push untuk menentukan repositori mana yang diatur untuk melakukan pemindaian gambar saat gambar baru didorong. Setiap repositori yang tidak cocok dengan pemindaian pemindaian dasar pada filter push akan diatur ke frekuensi pemindaian **manual** yang berarti untuk melakukan pemindaian, Anda harus memicu pemindaian secara manual.
Saat pemindaian yang **disempurnakan** digunakan, Anda dapat menentukan filter terpisah untuk pemindaian saat push dan pemindaian berkelanjutan. Repositori apa pun yang tidak cocok dengan filter pemindaian yang disempurnakan akan menonaktifkan pemindaian. Jika Anda menggunakan pemindaian yang disempurnakan dan menentukan filter terpisah untuk pemindaian pada push dan pemindaian berkelanjutan di mana beberapa filter cocok dengan repositori yang sama, maka Amazon ECR memberlakukan filter pemindaian berkelanjutan melalui pemindaian pada filter push untuk repositori itu.
## Filter wildcard
Ketika filter ditentukan, filter tanpa wildcard akan cocok dengan semua nama repositori yang berisi filter. Filter dengan wildcard (`*`) cocok dengan nama repositori mana pun di mana wildcard menggantikan nol atau lebih karakter dalam nama repositori.
Tabel berikut memberikan contoh di mana nama repositori dinyatakan pada sumbu horizontal dan contoh filter ditentukan pada sumbu vertikal.
| | prod | repo-prod | prod-repo | repo-prod-repo | prodrepo |
| --- | --- | --- | --- | --- | --- |
| prod | Ya | Ya | Ya | Ya | Ya |
| \$1prod | Ya | Ya | Tidak | Tidak | Tidak |
| prod\$1 | Ya | Tidak | Ya | Tidak | Ya |
| \$1prod\$1 | Ya | Ya | Ya | Ya | Ya |
| prod\$1repo | Tidak | Tidak | Ya | Tidak | Ya |
# Pindai gambar untuk kerentanan paket OS dan bahasa pemrograman di Amazon ECR
Pemindaian Amazon ECR yang disempurnakan adalah integrasi dengan Amazon Inspector yang menyediakan pemindaian kerentanan untuk gambar kontainer Anda. Gambar kontainer Anda dipindai untuk sistem operasi dan kerentanan paket bahasa pemrograman. Anda dapat melihat temuan pemindaian dengan Amazon ECR dan dengan Amazon Inspector secara langsung. Untuk informasi selengkapnya tentang Amazon Inspector, lihat [Memindai gambar kontainer dengan Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/enable-disable-scanning-ecr.html) di Panduan Pengguna Amazon *Inspector*.
Dengan pemindaian yang disempurnakan, Anda dapat memilih repositori mana yang dikonfigurasi untuk pemindaian otomatis dan berkelanjutan dan mana yang dikonfigurasi untuk pemindaian saat push. Ini dilakukan dengan mengatur filter pemindaian.
## Pertimbangan untuk pemindaian yang ditingkatkan
Pertimbangkan hal berikut sebelum mengaktifkan pemindaian Amazon ECR yang disempurnakan.
+ Tidak ada biaya tambahan dari Amazon ECR untuk menggunakan fitur ini, namun ada biaya dari Amazon Inspector untuk memindai gambar Anda. Fitur ini tersedia di Wilayah di mana Amazon Inspector didukung. Untuk informasi lebih lanjut, lihat:
+ Harga Amazon Inspector - Harga [Amazon Inspector](https://aws.amazon.com/inspector/pricing/).
+ Wilayah yang didukung Amazon Inspector — [Wilayah dan titik akhir](https://docs.aws.amazon.com//inspector/latest/user/inspector_regions.html).
+ Pemindaian Amazon ECR yang disempurnakan menunjukkan bagaimana gambar digunakan di Amazon EKS dan Amazon ECS. Anda dapat melihat kapan gambar terakhir digunakan dan mengidentifikasi berapa banyak cluster yang menggunakan setiap gambar. Informasi ini membantu Anda memprioritaskan remediasi kerentanan untuk gambar yang digunakan secara aktif. Anda dapat dengan cepat menentukan cluster mana yang mungkin terpengaruh oleh kerentanan yang baru ditemukan. Untuk informasi selengkapnya tentang cara meminta informasi ini dan melihat tanggapannya, lihat [https://docs.aws.amazon.com//AmazonECR/latest/APIReference/API_DescribeImageScanFindings.html](https://docs.aws.amazon.com//AmazonECR/latest/APIReference/API_DescribeImageScanFindings.html).
+ Amazon Inspector mendukung pemindaian untuk sistem operasi tertentu. Untuk daftar selengkapnya, lihat [Sistem operasi yang didukung - Pemindaian Amazon ECR](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os) di Panduan Pengguna *Amazon Inspector*.
+ Amazon Inspector menggunakan peran IAM terkait layanan, yang menyediakan izin yang diperlukan untuk menyediakan pemindaian yang disempurnakan untuk repositori Anda. Peran IAM terkait layanan dibuat secara otomatis oleh Amazon Inspector saat pemindaian yang disempurnakan diaktifkan untuk registri pribadi Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/using-service-linked-roles.html) di Panduan Pengguna Amazon *Inspector*.
+ Saat Anda awalnya mengaktifkan pemindaian yang disempurnakan untuk registri pribadi Anda, Amazon Inspector hanya mengenali gambar yang didorong ke Amazon ECR dalam 14 hari terakhir, berdasarkan stempel waktu push gambar. Gambar yang lebih tua akan memiliki status ` SCAN_ELIGIBILITY_EXPIRED` pemindaian. Jika Anda ingin gambar-gambar ini dipindai oleh Amazon Inspector, Anda harus mendorongnya lagi ke repositori Anda.
+ Saat pemindaian yang disempurnakan diaktifkan untuk registri pribadi Amazon ECR Anda, repositori yang cocok dengan filter pemindaian dipindai hanya menggunakan pemindaian yang disempurnakan. Repositori apa pun yang tidak cocok dengan filter akan memiliki frekuensi `Off` pemindaian dan tidak akan dipindai. Pemindaian manual menggunakan pemindaian yang disempurnakan tidak didukung. Untuk informasi selengkapnya, lihat [Filter untuk memilih repositori mana yang dipindai di Amazon ECR](image-scanning-filters.md).
+ Jika Anda menentukan filter terpisah untuk pemindaian pada push dan pemindaian berkelanjutan di mana beberapa filter cocok dengan repositori yang sama, maka Amazon ECR memberlakukan filter pemindaian berkelanjutan melalui pemindaian pada filter push untuk repositori tersebut.
+ Saat pemindaian yang ditingkatkan diaktifkan, Amazon ECR mengirimkan peristiwa ke EventBridge saat frekuensi pemindaian untuk repositori diubah. Amazon Inspector memancarkan peristiwa EventBridge saat pemindaian awal selesai dan saat temuan pemindaian gambar dibuat, diperbarui, atau ditutup.
## Mengubah durasi pemindaian yang disempurnakan untuk gambar di Amazon Inspector
Setelah mengaktifkan pemindaian yang disempurnakan, Amazon ECR terus memindai gambar yang baru didorong untuk durasi yang dikonfigurasi. Secara default, Amazon Inspector memantau repositori Anda hingga gambar dihapus atau pemindaian yang disempurnakan dinonaktifkan. Anda dapat mengonfigurasi durasi tanggal push (hingga Lifetime) dan durasi pemindaian ulang di konsol Amazon Inspector agar sesuai dengan kebutuhan lingkungan Anda. Ketika durasi pemindaian untuk repositori berlalu, status pemindaian ditampilkan sebagai. `SCAN_ELIGIBILITY_EXPIRED` *Untuk informasi selengkapnya tentang mengonfigurasi setelan durasi pemindaian ulang untuk Amazon ECR di Amazon Inspector, lihat Mengonfigurasi [durasi pemindaian ulang Amazon ECR di Panduan Pengguna Amazon](https://docs.aws.amazon.com/inspector/latest/user/enable-disable-scanning-ecr.html#scan-duration-setting) Inspector.*
# Izin IAM diperlukan untuk pemindaian yang ditingkatkan di Amazon ECR
Pemindaian Amazon ECR yang disempurnakan memerlukan peran IAM terkait layanan Amazon Inspector dan bahwa prinsipal IAM yang mengaktifkan dan menggunakan pemindaian yang disempurnakan memiliki izin untuk memanggil Amazon Inspector yang diperlukan untuk pemindaian. APIs Peran IAM terkait layanan Amazon Inspector dibuat secara otomatis oleh Amazon Inspector ketika pemindaian yang disempurnakan diaktifkan untuk registri pribadi Anda. Untuk informasi selengkapnya, lihat [Menggunakan peran terkait layanan untuk Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/using-service-linked-roles.html) di Panduan Pengguna Amazon *Inspector*.
Kebijakan IAM berikut memberikan izin yang diperlukan untuk mengaktifkan dan menggunakan pemindaian yang disempurnakan. Ini termasuk izin yang diperlukan untuk Amazon Inspector untuk membuat peran IAM terkait layanan serta izin Amazon Inspector API yang diperlukan untuk mengaktifkan dan menonaktifkan pemindaian yang disempurnakan dan mengambil temuan pemindaian.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"inspector2:Enable",
"inspector2:Disable",
"inspector2:ListFindings",
"inspector2:ListAccountPermissions",
"inspector2:ListCoverage"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"inspector2.amazonaws.com"
]
}
}
}
]
}
```
------
# Mengkonfigurasi pemindaian yang disempurnakan untuk gambar di Amazon ECR
Konfigurasikan pemindaian yang ditingkatkan per Wilayah untuk registri pribadi Anda.
Verifikasi bahwa Anda memiliki izin IAM yang tepat untuk mengonfigurasi pemindaian yang disempurnakan. Untuk informasi, lihat [Izin IAM diperlukan untuk pemindaian yang ditingkatkan di Amazon ECR](image-scanning-enhanced-iam.md).
------
#### [ Konsol Manajemen AWS ]
**Untuk mengaktifkan pemindaian yang disempurnakan untuk registri pribadi Anda**
1. Buka konsol Amazon ECR di [https://console.aws.amazon.com/ecr/repositori](https://console.aws.amazon.com/ecr/repositories).
1. Dari bilah navigasi, pilih Wilayah untuk mengatur konfigurasi pemindaian.
1. Di panel navigasi, pilih **Registri pribadi**, lalu pilih **Pengaturan**.
1. Pada halaman **konfigurasi Scanning**, untuk **jenis Scan** pilih **Enhanced scanning**.
Secara default, ketika **pemindaian yang ditingkatkan** dipilih, semua repositori Anda terus dipindai.
1. Untuk memilih repositori tertentu untuk terus memindai, kosongkan kotak **Continuous scan all repositories**, dan kemudian tentukan filter Anda:
**penting**
Filter tanpa wildcard akan cocok dengan semua nama repositori yang berisi filter. Filter dengan wildcard (`*`) cocok dengan nama repositori di mana wildcard menggantikan nol atau lebih karakter dalam nama repositori. Untuk melihat contoh bagaimana filter berperilaku, lihat[Filter wildcard](image-scanning-filters.md#image-scanning-filters-wildcards).
1. Masukkan filter berdasarkan nama repositori, lalu pilih **Tambahkan** filter.
1. Tentukan repositori mana yang akan dipindai saat gambar didorong:
+ Untuk memindai semua repositori saat push, pilih **Pindai saat mendorong semua** repositori.
+ **Untuk memilih repositori tertentu untuk memindai saat push, masukkan filter berdasarkan nama repositori, lalu pilih Tambahkan filter.**
1. Pilih **Simpan**.
1. Ulangi langkah-langkah ini di setiap Wilayah di mana Anda ingin mengaktifkan pemindaian yang disempurnakan.
------
#### [ AWS CLI ]
Gunakan AWS CLI perintah berikut untuk mengaktifkan pemindaian yang disempurnakan untuk registri pribadi Anda menggunakan AWS CLI. Anda dapat menentukan filter pemindaian menggunakan ` rules` objek.
+ [ put-registry-scanning-configuration](https://docs.aws.amazon.com/cli/latest/reference/ecr/put-registry-scanning-configuration.html) (AWS CLI)
Contoh berikut mengaktifkan pemindaian yang disempurnakan untuk registri pribadi Anda. Secara default, ketika tidak `rules` ditentukan, Amazon ECR menyetel konfigurasi pemindaian ke pemindaian berkelanjutan untuk semua repositori.
```
aws ecr put-registry-scanning-configuration \
--scan-type ENHANCED \
--region us-east-2
```
Contoh berikut mengaktifkan pemindaian yang disempurnakan untuk registri pribadi Anda dan menentukan filter pemindaian. Filter pemindaian dalam contoh mengaktifkan pemindaian terus menerus untuk semua repositori dengan `prod` namanya.
```
aws ecr put-registry-scanning-configuration \
--scan-type ENHANCED \
--rules '[{"repositoryFilters" : [{"filter":"prod","filterType" : "WILDCARD"}],"scanFrequency" : "CONTINUOUS_SCAN"}]' \
--region us-east-2
```
Contoh berikut mengaktifkan pemindaian yang disempurnakan untuk registri pribadi Anda dan menentukan beberapa filter pemindaian. Filter pemindaian dalam contoh mengaktifkan pemindaian berkelanjutan untuk semua repositori dengan `prod` namanya dan mengaktifkan pemindaian pada push hanya untuk semua repositori lainnya.
```
aws ecr put-registry-scanning-configuration \
--scan-type ENHANCED \
--rules '[{"repositoryFilters" : [{"filter":"prod","filterType" : "WILDCARD"}],"scanFrequency" : "CONTINUOUS_SCAN"},{"repositoryFilters" : [{"filter":"*","filterType" : "WILDCARD"}],"scanFrequency" : "SCAN_ON_PUSH"}]' \
--region us-west-2
```
------
# EventBridge peristiwa dikirim untuk pemindaian yang ditingkatkan di Amazon ECR
Saat pemindaian yang ditingkatkan diaktifkan, Amazon ECR mengirimkan peristiwa ke EventBridge saat frekuensi pemindaian untuk repositori diubah. Amazon Inspector mengirimkan peristiwa ke EventBridge saat pemindaian awal selesai dan saat temuan pemindaian gambar dibuat, diperbarui, atau ditutup.
**Acara untuk perubahan frekuensi pemindaian repositori**
Ketika pemindaian yang disempurnakan diaktifkan untuk registri Anda, peristiwa berikut dikirim oleh Amazon ECR ketika ada perubahan dengan sumber daya yang telah ditingkatkan pemindaian diaktifkan. Ini termasuk repositori baru yang sedang dibuat, frekuensi pemindaian untuk repositori yang diubah, atau ketika gambar dibuat atau dihapus di repositori dengan pemindaian yang ditingkatkan diaktifkan. Untuk informasi selengkapnya, lihat [Pindai gambar untuk kerentanan perangkat lunak di Amazon ECR](image-scanning.md).
```
{
"version": "0",
"id": "0c18352a-a4d4-6853-ef53-0abEXAMPLE",
"detail-type": "ECR Scan Resource Change",
"source": "aws.ecr",
"account": "123456789012",
"time": "2021-10-14T20:53:46Z",
"region": "us-east-1",
"resources": [],
"detail": {
"action-type": "SCAN_FREQUENCY_CHANGE",
"repositories": [{
"repository-name": "repository-1",
"repository-arn": "arn:aws:ecr:us-east-1:123456789012:repository/repository-1",
"scan-frequency": "SCAN_ON_PUSH",
"previous-scan-frequency": "MANUAL"
},
{
"repository-name": "repository-2",
"repository-arn": "arn:aws:ecr:us-east-1:123456789012:repository/repository-2",
"scan-frequency": "CONTINUOUS_SCAN",
"previous-scan-frequency": "SCAN_ON_PUSH"
},
{
"repository-name": "repository-3",
"repository-arn": "arn:aws:ecr:us-east-1:123456789012:repository/repository-3",
"scan-frequency": "CONTINUOUS_SCAN",
"previous-scan-frequency": "SCAN_ON_PUSH"
}
],
"resource-type": "REPOSITORY",
"scan-type": "ENHANCED"
}
}
```
**Acara untuk pemindaian gambar awal (pemindaian yang disempurnakan)**
Saat pemindaian yang disempurnakan diaktifkan untuk registri Anda, peristiwa berikut akan dikirim oleh Amazon Inspector saat pemindaian gambar awal selesai. Parameter `finding-severity-counts` hanya akan mengembalikan nilai untuk suatu tingkat keparahan jika ada. Contohnya, jika citra tidak mengandung temuan di tingkat `CRITICAL`, maka tidak ada hitungan kritis yang dikembalikan. Untuk informasi selengkapnya, lihat [Pindai gambar untuk kerentanan paket OS dan bahasa pemrograman di Amazon ECR](image-scanning-enhanced.md).
Pola acara:
```
{
"source": ["aws.inspector2"],
"detail-type": ["Inspector2 Scan"]
}
```
Contoh output:
```
{
"version": "0",
"id": "739c0d3c-4f02-85c7-5a88-94a9EXAMPLE",
"detail-type": "Inspector2 Scan",
"source": "aws.inspector2",
"account": "123456789012",
"time": "2021-12-03T18:03:16Z",
"region": "us-east-2",
"resources": [
"arn:aws:ecr:us-east-2:123456789012:repository/amazon/amazon-ecs-sample"
],
"detail": {
"scan-status": "INITIAL_SCAN_COMPLETE",
"repository-name": "arn:aws:ecr:us-east-2:123456789012:repository/amazon/amazon-ecs-sample",
"finding-severity-counts": {
"CRITICAL": 7,
"HIGH": 61,
"MEDIUM": 62,
"TOTAL": 158
},
"image-digest": "sha256:36c7b282abd0186e01419f2e58743e1bf635808231049bbc9d77e5EXAMPLE",
"image-tags": [
"latest"
]
}
}
```
**Acara untuk pembaruan pencarian pemindaian gambar (pemindaian yang disempurnakan)**
Saat pemindaian yang disempurnakan diaktifkan untuk registri Anda, peristiwa berikut akan dikirim oleh Amazon Inspector saat temuan pemindaian gambar dibuat, diperbarui, atau ditutup. Untuk informasi selengkapnya, lihat [Pindai gambar untuk kerentanan paket OS dan bahasa pemrograman di Amazon ECR](image-scanning-enhanced.md).
Pola acara:
```
{
"source": ["aws.inspector2"],
"detail-type": ["Inspector2 Finding"]
}
```
Contoh output:
```
{
"version": "0",
"id": "42dbea55-45ad-b2b4-87a8-afaEXAMPLE",
"detail-type": "Inspector2 Finding",
"source": "aws.inspector2",
"account": "123456789012",
"time": "2021-12-03T18:02:30Z",
"region": "us-east-2",
"resources": [
"arn:aws:ecr:us-east-2:123456789012:repository/amazon/amazon-ecs-sample/sha256:36c7b282abd0186e01419f2e58743e1bf635808231049bbc9d77eEXAMPLE"
],
"detail": {
"awsAccountId": "123456789012",
"description": "In libssh2 v1.9.0 and earlier versions, the SSH_MSG_DISCONNECT logic in packet.c has an integer overflow in a bounds check, enabling an attacker to specify an arbitrary (out-of-bounds) offset for a subsequent memory read. A crafted SSH server may be able to disclose sensitive information or cause a denial of service condition on the client system when a user connects to the server.",
"findingArn": "arn:aws:inspector2:us-east-2:123456789012:finding/be674aaddd0f75ac632055EXAMPLE",
"firstObservedAt": "Dec 3, 2021, 6:02:30 PM",
"inspectorScore": 6.5,
"inspectorScoreDetails": {
"adjustedCvss": {
"adjustments": [],
"cvssSource": "REDHAT_CVE",
"score": 6.5,
"scoreSource": "REDHAT_CVE",
"scoringVector": "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N",
"version": "3.0"
}
},
"lastObservedAt": "Dec 3, 2021, 6:02:30 PM",
"packageVulnerabilityDetails": {
"cvss": [
{
"baseScore": 6.5,
"scoringVector": "CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N",
"source": "REDHAT_CVE",
"version": "3.0"
},
{
"baseScore": 5.8,
"scoringVector": "AV:N/AC:M/Au:N/C:P/I:N/A:P",
"source": "NVD",
"version": "2.0"
},
{
"baseScore": 8.1,
"scoringVector": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H",
"source": "NVD",
"version": "3.1"
}
],
"referenceUrls": [
"https://access.redhat.com/errata/RHSA-2020:3915"
],
"source": "REDHAT_CVE",
"sourceUrl": "https://access.redhat.com/security/cve/CVE-2019-17498",
"vendorCreatedAt": "Oct 16, 2019, 12:00:00 AM",
"vendorSeverity": "Moderate",
"vulnerabilityId": "CVE-2019-17498",
"vulnerablePackages": [
{
"arch": "X86_64",
"epoch": 0,
"name": "libssh2",
"packageManager": "OS",
"release": "12.amzn2.2",
"sourceLayerHash": "sha256:72d97abdfae3b3c933ff41e39779cc72853d7bd9dc1e4800c5294dEXAMPLE",
"version": "1.4.3"
}
]
},
"remediation": {
"recommendation": {
"text": "Update all packages in the vulnerable packages section to their latest versions."
}
},
"resources": [
{
"details": {
"awsEcrContainerImage": {
"architecture": "amd64",
"imageHash": "sha256:36c7b282abd0186e01419f2e58743e1bf635808231049bbc9d77e5EXAMPLE",
"imageTags": [
"latest"
],
"platform": "AMAZON_LINUX_2",
"pushedAt": "Dec 3, 2021, 6:02:13 PM",
"lastInUseAt": "Dec 3, 2021, 6:02:13 PM",
"inUseCount": 1,
"registry": "123456789012",
"repositoryName": "amazon/amazon-ecs-sample"
}
},
"id": "arn:aws:ecr:us-east-2:123456789012:repository/amazon/amazon-ecs-sample/sha256:36c7b282abd0186e01419f2e58743e1bf635808231049bbc9d77EXAMPLE",
"partition": "N/A",
"region": "N/A",
"type": "AWS_ECR_CONTAINER_IMAGE"
}
],
"severity": "MEDIUM",
"status": "ACTIVE",
"title": "CVE-2019-17498 - libssh2",
"type": "PACKAGE_VULNERABILITY",
"updatedAt": "Dec 3, 2021, 6:02:30 PM"
}
}
```
# Mengambil temuan untuk pemindaian yang ditingkatkan di Amazon ECR
Anda dapat mengambil temuan pemindaian untuk pemindaian gambar terakhir yang disempurnakan, dan kemudian membuka temuan di Amazon Inspector untuk melihat lebih detail. Kerentanan perangkat lunak yang ditemukan terdaftar berdasarkan tingkat keparahan berdasarkan database Common Vulnerabilities and Exposures ()CVEs.
Untuk detail pemecahan masalah untuk beberapa masalah umum saat memindai citra, lihat [Memecahkan masalah pemindaian gambar di Amazon ECR](image-scanning-troubleshooting.md).
------
#### [ Konsol Manajemen AWS ]
Lakukan langkah-langkah berikut untuk mengambil temuan pemindaian citra menggunakan Konsol Manajemen AWS.
**Untuk mengambil temuan pemindaian gambar**
1. Buka konsol Amazon ECR di [https://console.aws.amazon.com/ecr/](https://console.aws.amazon.com/ecr/).
1. Dari bilah navigasi, pilih Wilayah tempat repositori Anda ada.
1. Di panel navigasi, pilih **Repositori**.
1. Pada halaman **Repositori**, pilih repositori yang berisi citra yang akan diambil hasil pemindaiannya.
1. Pada halaman **Gambar**, di bawah kolom **Tag gambar**, pilih tag gambar untuk mengambil temuan pemindaian.
1. **Untuk melihat detail selengkapnya di konsol Amazon Inspector, pilih nama kerentanan di kolom Nama.**
------
#### [ AWS CLI ]
Gunakan AWS CLI perintah berikut untuk mengambil temuan pemindaian gambar menggunakan. AWS CLI Anda dapat menentukan citra menggunakan `imageTag` atau ` imageDigest`, yang keduanya dapat diperoleh dengan menggunakan perintah CLI [list-images](https://docs.aws.amazon.com/cli/latest/reference/ecr/list-images.html).
+ [ describe-image-scan-findings](https://docs.aws.amazon.com/cli/latest/reference/ecr/describe-image-scan-findings.html) (AWS CLI)
Contoh berikut menggunakan tanda citra.
```
aws ecr describe-image-scan-findings \
--repository-name name \
--image-id imageTag=tag_name \
--region us-east-2
```
Contoh berikut menggunakan digest citra.
```
aws ecr describe-image-scan-findings \
--repository-name name \
--image-id imageDigest=sha256_hash \
--region us-east-2
```
------
# Pindai gambar untuk kerentanan OS di Amazon ECR
Pemindaian dasar Amazon ECR menggunakan teknologi AWS asli untuk memindai gambar kontainer Anda dari kerentanan perangkat lunak. Pemindaian dasar menyediakan deteksi kerentanan di seluruh rangkaian luas sistem operasi populer, sumber lebih dari 50 umpan data untuk menghasilkan temuan untuk kerentanan dan eksposur umum (). CVEs Sumber-sumber ini termasuk penasihat keamanan vendor, umpan data, umpan intelijen ancaman, serta National Vulnerability Database (NVD) dan MITRE.
Pemindaian dasar Amazon ECR didukung di semua wilayah yang tercantum dalam [AWS Layanan menurut Wilayah](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/).
Amazon ECR menggunakan tingkat keparahan untuk CVE dari sumber distribusi hulu jika tersedia. Jika tidak, skor Common Vulnerability Scoring System (CVSS) digunakan. Skor CVSS dapat digunakan untuk mengetahui tingkat kepelikan kelemahan NVD. Untuk informasi selengkapnya, lihat [Tingkat kepelikan kelemahan NVD](https://nvd.nist.gov/vuln-metrics/cvss).
Pemindaian dasar Amazon ECR mendukung filter untuk menentukan repositori mana yang akan dipindai saat push. Repositori apa pun yang tidak cocok dengan pemindaian pada filter push diatur ke frekuensi pemindaian **manual** yang berarti Anda harus memulai pemindaian secara manual. Gambar dapat dipindai sekali per 24 jam. 24 jam termasuk pemindaian awal pada push, jika dikonfigurasi, dan pemindaian manual apa pun. Dengan pemindaian dasar, Anda dapat memindai hingga 100.000 gambar per 24 jam dalam registri tertentu.
Temuan pemindaian citra yang telah diselesaikan terakhir dapat diambil untuk setiap citra. Saat pemindaian gambar selesai, Amazon ECR mengirimkan acara ke Amazon EventBridge. Untuk informasi selengkapnya, lihat [Acara Amazon ECR dan EventBridge](ecr-eventbridge.md).
## Dukungan sistem operasi untuk pemindaian dasar
Sebagai praktik keamanan terbaik dan untuk cakupan lanjutan, kami menyarankan Anda untuk terus menggunakan versi sistem operasi yang didukung. Sesuai dengan kebijakan vendor, sistem operasi yang dihentikan tidak lagi diperbarui dengan tambalan dan, dalam banyak kasus, nasihat keamanan baru tidak lagi dirilis untuk mereka. Selain itu, beberapa vendor menghapus penasihat dan deteksi keamanan yang ada dari feed mereka ketika sistem operasi yang terpengaruh mencapai akhir dukungan standar. Setelah distribusi kehilangan dukungan dari vendornya, Amazon ECR mungkin tidak lagi mendukung pemindaian kerentanan. Setiap temuan yang dihasilkan Amazon ECR untuk sistem operasi yang dihentikan harus digunakan hanya untuk tujuan informasi. Untuk mengetahui daftar lengkap sistem dan versi operasi yang didukung, lihat [Sistem operasi yang didukung - Pemindaian Amazon Inspector di Panduan](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-scan-inspector-scan) Pengguna *Amazon Inspector*.
# Mengkonfigurasi pemindaian dasar untuk gambar di Amazon ECR
Secara default, Amazon ECR mengaktifkan pemindaian dasar untuk semua pendaftar pribadi. Akibatnya, kecuali Anda telah mengubah pengaturan pemindaian pada registri pribadi Anda, tidak perlu mengaktifkan pemindaian dasar.
Anda dapat menggunakan langkah-langkah berikut untuk menentukan satu atau lebih pemindaian pada filter push.
**Untuk mengaktifkan pemindaian dasar untuk registri pribadi Anda**
1. [Buka konsol Amazon ECR di https://console.aws.amazon.com/ecr/ private-registry/repositori](https://console.aws.amazon.com/ecr/private-registry/repositories)
1. Dari bilah navigasi, pilih Wilayah untuk mengatur konfigurasi pemindaian.
1. Di panel navigasi, pilih **Registri pribadi**, **Pemindaian**.
1. Pada halaman **konfigurasi Pemindaian**, Untuk **jenis Pindai** pilih **Pemindaian dasar**.
1. Secara default semua repositori Anda diatur untuk pemindaian **Manual**. Anda dapat secara opsional mengonfigurasi pemindaian saat push dengan menentukan **Pindai pada filter push**. Anda dapat mengatur pemindaian pada push untuk semua repositori atau repositori individual. Untuk informasi selengkapnya, lihat [Filter untuk memilih repositori mana yang dipindai di Amazon ECR](image-scanning-filters.md).
**catatan**
Jika pemindaian pada push diaktifkan untuk repositori, pemindaian juga dilakukan pada gambar yang dipulihkan setelah diarsipkan. Tidak ada pemindaian lama yang akan tersedia dari gambar yang dipulihkan.
# Memindai gambar secara manual untuk kerentanan OS di Amazon ECR
Jika repositori Anda tidak dikonfigurasi untuk **memindai saat push**, Anda dapat memulai pemindaian gambar secara manual. Gambar dapat dipindai sekali per 24 jam. 24 jam termasuk pemindaian awal pada push, jika dikonfigurasi, dan pemindaian manual apa pun.
Untuk detail pemecahan masalah untuk beberapa masalah umum saat memindai citra, lihat [Memecahkan masalah pemindaian gambar di Amazon ECR](image-scanning-troubleshooting.md).
------
#### [ Konsol Manajemen AWS ]
Gunakan langkah-langkah berikut untuk memulai pemindaian citra manual menggunakan Konsol Manajemen AWS.
1. [Buka konsol Amazon ECR di https://console.aws.amazon.com/ecr/ private-registry/repositori](https://console.aws.amazon.com/ecr/private-registry/repositories)
1. Dari bilah navigasi, pilih Wilayah untuk membuat repositori Anda.
1. Di panel navigasi, pilih **Repositori**.
1. Pada halaman **Repositori**, pilih repositori yang berisi citra yang akan dipindai.
1. Pada halaman **citra**, pilih citra yang akan dipindai dan kemudian pilih **Pindai**.
------
#### [ AWS CLI ]
+ [ start-image-scan](https://docs.aws.amazon.com/cli/latest/reference/ecr/start-image-scan.html) (AWS CLI)
Contoh berikut menggunakan tanda citra.
```
aws ecr start-image-scan --repository-name name --image-id imageTag=tag_name --region us-east-2
```
Contoh berikut menggunakan digest citra.
```
aws ecr start-image-scan --repository-name name --image-id imageDigest=sha256_hash --region us-east-2
```
------
#### [ AWS Tools for Windows PowerShell ]
+ [Dapatkan- ECRImage ScanFinding](https://docs.aws.amazon.com/powershell/latest/reference/items/Start-ECRImageScan.html) (AWS Tools for Windows PowerShell)
Contoh berikut menggunakan tanda citra.
```
Start-ECRImageScan -RepositoryName name -ImageId_ImageTag tag_name -Region us-east-2 -Force
```
Contoh berikut menggunakan digest citra.
```
Start-ECRImageScan -RepositoryName name -ImageId_ImageDigest sha256_hash -Region us-east-2 -Force
```
------
# Mengambil temuan untuk pemindaian dasar di Amazon ECR
Anda dapat mengambil temuan pemindaian untuk pemindaian gambar dasar yang terakhir selesai. Kerentanan perangkat lunak yang ditemukan terdaftar berdasarkan tingkat keparahan berdasarkan database Common Vulnerabilities and Exposures ()CVEs.
Untuk detail pemecahan masalah untuk beberapa masalah umum saat memindai citra, lihat [Memecahkan masalah pemindaian gambar di Amazon ECR](image-scanning-troubleshooting.md).
------
#### [ Konsol Manajemen AWS ]
Lakukan langkah-langkah berikut untuk mengambil temuan pemindaian citra menggunakan Konsol Manajemen AWS.
**Untuk mengambil temuan pemindaian gambar**
1. [Buka konsol Amazon ECR di https://console.aws.amazon.com/ecr/ private-registry/repositori](https://console.aws.amazon.com/ecr/private-registry/repositories)
1. Dari bilah navigasi, pilih Wilayah untuk membuat repositori Anda.
1. Di panel navigasi, pilih **Repositori**.
1. Pada halaman **Repositori**, pilih repositori yang berisi citra yang akan diambil hasil pemindaiannya.
1. Pada halaman **Gambar**, di bawah kolom **Tag gambar**, pilih tag gambar untuk mengambil temuan pemindaian.
------
#### [ AWS CLI ]
Gunakan AWS CLI perintah berikut untuk mengambil temuan pemindaian gambar menggunakan. AWS CLI Anda dapat menentukan citra menggunakan `imageTag` atau ` imageDigest`, yang keduanya dapat diperoleh dengan menggunakan perintah CLI [list-images](https://docs.aws.amazon.com/cli/latest/reference/ecr/list-images.html).
+ [ describe-image-scan-findings](https://docs.aws.amazon.com/cli/latest/reference/ecr/describe-image-scan-findings.html) (AWS CLI)
Contoh berikut menggunakan tanda citra.
```
aws ecr describe-image-scan-findings --repository-name name --image-id imageTag=tag_name --region us-east-2
```
Contoh berikut menggunakan digest citra.
```
aws ecr describe-image-scan-findings --repository-name name --image-id imageDigest=sha256_hash --region us-east-2
```
------
#### [ AWS Tools for Windows PowerShell ]
+ [Dapatkan- ECRImage ScanFinding](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ECRImageScanFinding.html) (AWS Tools for Windows PowerShell)
Contoh berikut menggunakan tanda citra.
```
Get-ECRImageScanFinding -RepositoryName name -ImageId_ImageTag tag_name -Region us-east-2
```
Contoh berikut menggunakan digest citra.
```
Get-ECRImageScanFinding -RepositoryName name -ImageId_ImageDigest sha256_hash -Region us-east-2
```
------
# Memecahkan masalah pemindaian gambar di Amazon ECR
Berikut ini adalah kegagalan pemindaian citra yang umum. Anda dapat melihat kesalahan seperti ini di konsol Amazon ECR dengan menampilkan detail gambar atau melalui API atau AWS CLI dengan menggunakan API. ` DescribeImageScanFindings`
UnsupportedImageError
Anda mungkin mendapatkan `UnsupportedImageError` kesalahan saat mencoba melakukan pemindaian dasar pada gambar yang dibuat menggunakan sistem operasi yang Amazon ECR tidak mendukung pemindaian gambar dasar. Amazon ECR mendukung pemindaian kelemahan paket untuk sebagian besar versi distribusi Amazon Linux, Amazon Linux 2, Debian, Ubuntu, CentOS, Oracle Linux, Alpine, dan RHEL Linux. Setelah distribusi kehilangan dukungan dari vendor, Amazon ECR mungkin tidak lagi mendukung pemindaian kelemahan. Amazon ECR tidak mendukung pemindaian citra yang dibangun dari citra [Scratch Docker](https://hub.docker.com/_/scratch).
Saat menggunakan pemindaian yang disempurnakan, Amazon Inspector mendukung pemindaian untuk sistem operasi dan jenis media tertentu. Untuk daftar selengkapnya, lihat [Sistem operasi dan tipe media yang didukung](https://docs.aws.amazon.com/inspector/latest/user/enable-disable-scanning-ecr.html#ecr-supported-media) di *Panduan Pengguna Amazon Inspector*.
Tingkat kepelikan `UNDEFINED` dikembalikan
Anda mungkin menerima temuan pindaian yang memiliki tingkat kepelikan ` UNDEFINED`. Berikut ini adalah penyebab umum untuk ini:
+ Kelemahan tidak ditetapkan sebagai prioritas oleh sumber CVE.
+ Kelemahan diberikan prioritas yang tidak dikenali Amazon ECR.
Untuk menentukan tingkat kepelikan dan deskripsi kelemahan, Anda dapat melihat CVE langsung dari sumber.
## Memahami status pemindaian `SCAN_ELIGIBILITY_EXPIRED`
Saat pemindaian yang disempurnakan menggunakan Amazon Inspector diaktifkan untuk registri pribadi Anda dan Anda melihat kerentanan pemindaian, Anda mungkin melihat status pemindaian. ` SCAN_ELIGIBILITY_EXPIRED` Berikut ini adalah penyebab paling umum dari hal ini.
+ Saat Anda awalnya mengaktifkan pemindaian yang disempurnakan untuk registri pribadi Anda, Amazon Inspector hanya mengenali gambar yang didorong ke Amazon ECR dalam 30 hari terakhir, berdasarkan stempel waktu push gambar. Gambar yang lebih tua akan memiliki status ` SCAN_ELIGIBILITY_EXPIRED` pemindaian. Jika Anda ingin gambar-gambar ini dipindai oleh Amazon Inspector, Anda harus mendorongnya lagi ke repositori Anda.
+ Jika **durasi pemindaian ulang ECR** diubah di konsol Amazon Inspector dan waktu tersebut berlalu, status pemindaian gambar diubah menjadi ` inactive` kode `expired` alasan, dan semua temuan terkait untuk gambar dijadwalkan ditutup. Ini menghasilkan konsol Amazon ECR yang mencantumkan status pemindaian sebagai` SCAN_ELIGIBILITY_EXPIRED`.