이미지 스캔 - Amazon ECR

이미지 스캔

Amazon ECR 이미지 스캔은 컨테이너 이미지의 소프트웨어 취약성을 식별하는 데 도움이 됩니다. 다음과 같은 스캔 유형이 제공됩니다.

  • 고급 스캔(Enhanced scanning) - Amazon ECR이 Amazon Inspector와 통합되어 리포지토리를 계속해서 자동 스캔할 수 있는 기능을 제공합니다. 운영 체제 및 프로그래밍 언어 패키지 취약성 모두에 대해 컨테이너 이미지가 스캔됩니다. 새로운 취약성이 나타나면 스캔 결과가 업데이트되고, Amazon Inspector가 이벤트를 EventBridge에 전송하여 사용자에게 알립니다.

  • 기본 스캔(Basic scanning) - Amazon ECR은 오픈 소스 Clair 프로젝트의 CVE(일반적인 취약성 및 노출) 데이터베이스를 사용합니다. 기본 스캔을 사용하면 푸시할 때 스캔하도록 리포지토리를 구성하거나 수동 스캔을 수행할 수 있으며, Amazon ECR에서 스캔 결과 목록을 제공합니다.

필터 사용

프라이빗 레지스트리에 대해 이미지 스캔이 구성된 경우 모든 리포지토리를 스캔하도록 지정하거나 필터를 지정하여 스캔할 리포지토리 범위를 선택할 수 있습니다.

기본 스캔을 사용하는 경우 푸시 필터에서 스캔을 지정하여 새 이미지를 푸시할 때 이미지 스캔을 수행하도록 설정되는 리포지토리를 지정할 수 있습니다. 푸시 필터의 기본 스캔과 일치하지 않는 모든 리포지토리는 수동 스캔 빈도로 설정됩니다. 즉, 스캔을 수행하려면 수동으로 스캔을 트리거해야 합니다.

고급 스캔을 사용하는 경우 푸시 및 연속 스캔 시 스캔을 위한 별도의 필터를 지정할 수 있습니다. 고급 스캔 필터와 일치하지 않는 리포지토리는 스캔이 비활성화됩니다. 고급 스캔을 사용하며 여러 필터가 동일한 리포지토리와 일치하는 푸시 및 연속 스캔 시 스캔을 위한 별도의 필터를 지정하는 경우, Amazon ECR은 해당 리포지토리의 푸시 필터 스캔에 연속 스캔 필터를 적용합니다.

필터를 지정하면 와일드카드가 없는 필터는 필터를 포함하는 모든 리포지토리 이름과 일치합니다. 와일드카드가 있는 필터(*)는 와일드카드가 리포지토리 이름에서 0개 이상의 문자를 대체하는 리포지토리 이름과 일치합니다. 다음 테이블에서는 리포지토리 이름이 가로축에 표시되고 세로축에 예제 필터가 지정되는 예제를 보여줍니다.

prod

repo-prod

prod-repo

repo-prod-repo

prodrepo

prod

*prod

아니요 아니요 아니요

prod*

아니요 아니요

*prod*

prod*repo

아니요 아니요 아니요