ECR の拡張スキャンで検出できる脆弱性の範囲を教えてください

困っていた内容

Amazon Inspector と統合された ECR の拡張スキャンで脆弱性を検出したいです。
拡張スキャンでは、OS パッケージやソースコード、ソースコードからビルドされたパッケージなど、どのような範囲が検出対象ですか。

どの範囲の検出ができるの?

OS およびプログラミング言語パッケージの脆弱性が検出対象となります。

Amazon ECR でイメージをスキャンしてソフトウェア脆弱性がないか調べる - Amazon ECR

拡張スキャンでは、以下が提供されます。

• OS およびプログラミング言語のパッケージに関する脆弱性。

2026年1月時点で、ECR の拡張スキャンでは、OS パッケージとプログラミング言語のパッケージマネージャー経由（例：Python の pip）でインストールされたパッケージが検出対象となります。

そのため、ソースコードからコンパイルしてインストールされたパッケージ、バイナリファイルは検出の対象外となります。

なお、検出対象であっても、Inspector が該当の脆弱性の検出をサポートしていること、OS やプログラミング言語がサポート対象であることも必要です。

• 特定の脆弱性が Amazon Inspector で検出できるか確認する方法を教えてください | DevelopersIO
• Amazon Inspector でサポートされているオペレーティングシステムとプログラミング言語 - Amazon Inspector

参考資料

• Amazon Inspector による Amazon Elastic Container Registry コンテナイメージのスキャン - Amazon Inspector

拡張スキャンでは、オペレーティングシステムとプログラミング言語パッケージの脆弱性をレジストリレベルでスキャンします。

• 特定の脆弱性が Amazon Inspector で検出できるか確認する方法を教えてください | DevelopersIO
• Amazon Inspector でサポートされているオペレーティングシステムとプログラミング言語 - Amazon Inspector
• サポートされているオペレーティングシステムとメディアタイプ | Amazon Inspector による Amazon Elastic Container Registry コンテナイメージのスキャン - Amazon Inspector