Amazon でのイメージスキャンのトラブルシューティング ECR

以下は、一般的なイメージスキャンの失敗です。このようなエラーは、Amazon ECRコンソールでイメージの詳細を表示するか、 または DescribeImageScanFindings API AWS CLI を使用して表示できますAPI。

UnsupportedImageError

Amazon がベーシックイメージスキャンをサポートECRしていないオペレーティングシステムを使用して構築されたイメージに対してベーシックスキャンを実行しようとすると、UnsupportedImageErrorエラーが発生することがあります。Amazon ECR は、Amazon Linux、Amazon Linux 2、Debian、Ubuntu、CentOS、Alpine、RHELLinux ディストリビューションのメジャーバージョンのパッケージ脆弱性スキャンをサポートしています。ディストリビューションがベンダーからサポートを失った場合、Amazon は脆弱性のスキャンをサポートしなくなるECR可能性があります。Amazon ECR は、Docker スクラッチイメージから構築されたイメージのスキャンをサポートしていません。

重要

拡張スキャンを使用する場合、Amazon Inspector では特定のオペレーティングシステムおよびメディアタイプのスキャンがサポートされます。完全なリストについては、Amazon Inspector ユーザーガイドの「サポートされているオペレーティングおよびメディアタイプ」を参照してください。

UNDEFINED 深刻度が返される

深刻度が UNDEFINED のスキャン結果が返される場合があります。この問題の一般的な原因は以下のとおりです。

• 脆弱性には、CVEソースによって優先度が割り当てられていません。

• 脆弱性には、Amazon が認識しなかった優先度が割り当てられECRました。

脆弱性の重要度と説明を判断するには、ソースCVEから直接 を表示できます。

スキャンステータス SCAN_ELIGIBILITY_EXPIRED を理解する

プライベートレジストリに対して Amazon Inspector を使用した拡張スキャンが有効になっている場合にスキャンの脆弱性を表示すると、SCAN_ELIGIBILITY_EXPIRED のスキャンステータスが表示されることがあります。この問題の最も一般的な原因は以下のとおりです。

• プライベートレジストリの拡張スキャンを最初に有効にすると、Amazon Inspector はイメージプッシュタイムスタンプに基づいて、過去 30 日間ECRに Amazon にプッシュされたイメージのみを認識します。古い画像は SCAN_ELIGIBILITY_EXPIRED スキャンステータスになります。これらの画像を Amazon Inspector でスキャンしたい場合は、リポジトリに再度プッシュする必要があります。

• ECR 再スキャン期間が Amazon Inspector コンソールで変更され、その時間が経過すると、イメージのスキャンステータスは理由コード inactiveで に変更されexpired、イメージに関連するすべての検出結果がクローズされる予定です。これにより、Amazon ECRコンソールにスキャンステータスが として一覧表示されますSCAN_ELIGIBILITY_EXPIRED。