我们正在使用 AWS Inspector 扫描 AWS ECR 存储库上的漏洞。当某个存储库上有新图像时,我们希望抑制过去/被取代的图像中的发现,仅保留每个存储库最新图像中的活动发现,因此我们只能看到实际上尚未修复的问题。
我不能只按年龄过滤掉,因为对于某些存储库,我们可能会在一段时间内没有生成新图像。
我尝试在 AWS Inspector 上创建抑制规则,但找不到合适的过滤器来达到所需的效果。如果我尝试抑制所有没有
latestlatest如何抑制旧 ECR 图像中的发现?
我目前想到的最好方法是基于标记约定。它并不是严格意义上的“抑制”,但它可以让您获得经过过滤的视图。
对于当前配置为在系统中使用的每个图像,添加一个标签。像
inventory-{date}然后,您可以在 Inspector 控制台以及 Inspector 生成的导出/报告中使用基于标签的过滤。
相关文档:
ListTasksecrImageTagsCreateFindingsReport