Amazon에서의 이미지 스캔 문제 해결 ECR

다음은 일반적인 이미지 스캔 오류입니다. Amazon ECR 콘솔에서 이미지 세부 정보를 표시하거나 를 사용하여 이와 같은 오류를 볼 수 DescribeImageScanFindings API 있습니다. API AWS CLI

UnsupportedImageError

Amazon에서 기본 이미지 스캔을 ECR 지원하지 않는 운영 체제를 사용하여 만든 이미지에 기본 스캔을 수행하려고 하면 UnsupportedImageError 오류가 발생할 수 있습니다. Amazon은 주요 버전의 아마존 리눅스, 아마존 리눅스 2, 데비안, 우분투, CentOS, 오라클 리눅스, 알파인 및 리눅스 배포판에 대한 패키지 취약성 검사를 ECR 지원합니다. RHEL 배포판에 공급업체의 지원이 끊기면 Amazon은 더 이상 취약성 검사를 지원하지 ECR 않을 수 있습니다. ECRAmazon은 Docker 스크래치 이미지로 빌드된 이미지 스캔을 지원하지 않습니다.

중요

고급 스캔을 사용할 경우 Amazon Inspector는 특정 운영 체제 및 미디어 유형에 대한 스캔을 지원합니다. 전체 목록은 Amazon Inspector 사용 설명서의 지원되는 운영 체제 및 미디어 유형을 참조하세요.

UNDEFINED 심각도 수준이 반환됩니다.

심각도 수준이 UNDEFINED인 스캔 결과를 받을 수 있습니다. 이에 대한 일반적인 원인은 다음과 같습니다.

• 출처가 취약성에 우선 순위를 할당하지 않았습니다. CVE

• 취약성에는 Amazon이 인식하지 ECR 못한 우선 순위가 할당되었습니다.

취약성의 심각도 및 설명을 확인하려면 소스에서 CVE 직접 확인할 수 있습니다.

스캔 상태 SCAN_ELIGIBILITY_EXPIRED 이해

프라이빗 레지스트리에 대해 Amazon Inspector를 사용한 고급 스캔이 활성화되어 있고 스캔 취약성을 보고 있는 경우 스캔 상태가 SCAN_ELIGIBILITY_EXPIRED로 표시될 수 있습니다. 이에 대한 가장 일반적인 원인은 다음과 같습니다.

• 처음에 프라이빗 레지스트리에 대한 향상된 스캔 기능을 켜면 Amazon Inspector는 이미지 푸시 타임스탬프를 기반으로 지난 30일 동안 ECR Amazon에 푸시된 이미지만 인식합니다. 이전 이미지에는 SCAN_ELIGIBILITY_EXPIRED 스캔 상태가 포함됩니다. Amazon Inspector에서 이러한 이미지를 스캔하려는 경우에는 이미지를 해당 리포지토리로 다시 푸시해야 합니다.

• Amazon Inspector 콘솔에서 ECR재스캔 기간을 변경하고 해당 시간이 경과하면 이미지의 스캔 상태가 원인 코드가 expired 4로 변경되고 이미지에 대한 모든 관련 검색 결과가 inactive 종료되도록 예약됩니다. 그러면 Amazon ECR 콘솔에 스캔 상태가 다음과 같이 SCAN_ELIGIBILITY_EXPIRED 나열됩니다.