Amazon ECR에서의 이미지 스캔 문제 해결 - Amazon ECR

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon ECR에서의 이미지 스캔 문제 해결

다음은 일반적인 이미지 스캔 오류입니다. Amazon ECR 콘솔에서 이미지 세부 정보를 표시하거나 API 또는 AWS CLI API를 사용하여 이와 같은 오류를 볼 수 있습니다. DescribeImageScanFindings

UnsupportedImage오류

Amazon ECR이 기본 이미지 스캔을 지원하지 않는 운영 체제를 사용하여 구축된 이미지에 대해 기본 스캔을 수행하려고 하면 UnsupportedImageError 오류가 발생할 수 있습니다. Amazon ECR은 Amazon Linux, Amazon Linux 2, Debian, Ubuntu, CentOS, Oracle Linux, Alpine, and RHEL Linux 배포판의 주 버전에 대한 패키지 취약점 검색을 지원합니다. 배포판이 판매업체의 지원을 받지 않게 되면 Amazon ECR에서 취약성 검색을 더 이상 지원하지 않을 수 있습니다. Amazon ECR은 Docker scratch 이미지에서 구축된 이미지의 스캔을 지원하지 않습니다.

중요

고급 스캔을 사용할 경우 Amazon Inspector는 특정 운영 체제 및 미디어 유형에 대한 스캔을 지원합니다. 전체 목록은 Amazon Inspector 사용 설명서지원되는 운영 체제 및 미디어 유형을 참조하세요.

UNDEFINED 심각도 수준이 반환됩니다.

심각도 수준이 UNDEFINED인 스캔 결과를 받을 수 있습니다. 이에 대한 일반적인 원인은 다음과 같습니다.

  • 이 취약성에는 CVE 소스에 의해 우선 순위가 할당되지 않았습니다.

  • 이 취약성에는 Amazon ECR이 인식하지 못한 우선 순위가 할당되었습니다.

취약성의 심각도 및 설명을 확인하려면 소스에서 직접 CVE를 확인하면 됩니다.

스캔 상태 SCAN_ELIGIBILITY_EXPIRED 이해

프라이빗 레지스트리에 대해 Amazon Inspector를 사용한 고급 스캔이 활성화되어 있고 스캔 취약성을 보고 있는 경우 스캔 상태가 SCAN_ELIGIBILITY_EXPIRED로 표시될 수 있습니다. 이에 대한 가장 일반적인 원인은 다음과 같습니다.

  • 프라이빗 레지스트리에 대해 고급 스캔을 처음 켜면 Amazon Inspector는 이미지 푸시 타임스탬프를 근거로 지난 30일 동안 Amazon ECR에 푸시된 이미지만 인식합니다. 이전 이미지에는 SCAN_ELIGIBILITY_EXPIRED 스캔 상태가 포함됩니다. Amazon Inspector에서 이러한 이미지를 스캔하려는 경우에는 이미지를 해당 리포지토리로 다시 푸시해야 합니다.

  • Amazon Inspector 콘솔에서 ECR 재스캔 기간(ECR re-scan duration)이 변경되고 이 시간이 경과하면 이미지의 스캔 상태가 사유 코드 inactive와 함께 expired로 변경되고 이미지에 대한 모든 관련 검색 결과가 닫히도록 예약됩니다. 그 결과 Amazon ECR 콘솔에 스캔 상태가 SCAN_ELIGIBILITY_EXPIRED로 표시됩니다.