Amazon ECR에서 이미지 스캔 문제 해결

다음은 일반적인 이미지 스캔 오류입니다. 이미지 세부 정보를 표시하거나 API를 통해 또는 DescribeImageScanFindings API를 AWS CLI 사용하여 Amazon ECR 콘솔에서 이와 같은 오류를 볼 수 있습니다.

UnsupportedImageError

Amazon ECR이 기본 이미지 스캔을 지원하지 않는 운영 체제를 사용하여 구축된 이미지에 대해 기본 스캔을 수행하려고 하면 UnsupportedImageError 오류가 발생할 수 있습니다. Amazon ECR은 Amazon Linux, Amazon Linux 2, Debian, Ubuntu, CentOS, Oracle Linux, Alpine, and RHEL Linux 배포판의 주 버전에 대한 패키지 취약점 검색을 지원합니다. 배포판이 판매업체의 지원을 받지 않게 되면 Amazon ECR에서 취약성 검색을 더 이상 지원하지 않을 수 있습니다. Amazon ECR은 Docker scratch 이미지에서 구축된 이미지의 스캔을 지원하지 않습니다.

중요

고급 스캔을 사용할 경우 Amazon Inspector는 특정 운영 체제 및 미디어 유형에 대한 스캔을 지원합니다. 전체 목록은 Amazon Inspector 사용 설명서의 지원되는 운영 체제 및 미디어 유형을 참조하세요.

UNDEFINED 심각도 수준이 반환됩니다.

심각도 수준이 UNDEFINED인 스캔 결과를 받을 수 있습니다. 이에 대한 일반적인 원인은 다음과 같습니다.

• 이 취약성에는 CVE 소스에 의해 우선 순위가 할당되지 않았습니다.

• 이 취약성에는 Amazon ECR이 인식하지 못한 우선 순위가 할당되었습니다.

취약성의 심각도 및 설명을 확인하려면 소스에서 직접 CVE를 확인하면 됩니다.

스캔 상태 SCAN_ELIGIBILITY_EXPIRED 이해

프라이빗 레지스트리에 대해 Amazon Inspector를 사용한 고급 스캔이 활성화되어 있고 스캔 취약성을 보고 있는 경우 스캔 상태가 SCAN_ELIGIBILITY_EXPIRED로 표시될 수 있습니다. 이에 대한 가장 일반적인 원인은 다음과 같습니다.

• 프라이빗 레지스트리에 대해 고급 스캔을 처음 켜면 Amazon Inspector는 이미지 푸시 타임스탬프를 근거로 지난 30일 동안 Amazon ECR에 푸시된 이미지만 인식합니다. 이전 이미지에는 SCAN_ELIGIBILITY_EXPIRED 스캔 상태가 포함됩니다. Amazon Inspector에서 이러한 이미지를 스캔하려는 경우에는 이미지를 해당 리포지토리로 다시 푸시해야 합니다.

• Amazon Inspector 콘솔에서 ECR 재스캔 기간(ECR re-scan duration)이 변경되고 이 시간이 경과하면 이미지의 스캔 상태가 사유 코드 inactive와 함께 expired로 변경되고 이미지에 대한 모든 관련 검색 결과가 닫히도록 예약됩니다. 그 결과 Amazon ECR 콘솔에 스캔 상태가 SCAN_ELIGIBILITY_EXPIRED로 표시됩니다.