Solucionar problemas de verificação de imagens no Amazon ECR - Amazon ECR

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solucionar problemas de verificação de imagens no Amazon ECR

Veja a seguir falhas comuns de verificação de imagem. Você pode visualizar erros como esses no console do Amazon ECR exibindo os detalhes da imagem ou por meio da API ou AWS CLI usando a DescribeImageScanFindings API.

UnsupportedImageError

Você pode receber um erro de UnsupportedImageError ao tentar realizar uma verificação básica em uma imagem que foi criada usando um sistema operacional para o qual o Amazon ECR não oferece suporte à verificação de imagens. O Amazon ECR suporta verificação de vulnerabilidades de pacotes para as versões principais de distribuições do Amazon Linux, Amazon Linux 2, Debian, Ubuntu, CentOS, Oracle Linux, Alpine e RHEL Linux. Quando uma distribuição perde o suporte de seu fornecedor, o Amazon ECR pode não suportar a verificação de vulnerabilidades dessa distribuição. O Amazon ECR não suporta verificação de imagens criadas a partir de imagem de scratch do Docker.

Importante

Ao usar a verificação avançada, o Amazon Inspector oferece suporte à verificação para sistemas operacionais e tipos de mídias específicos. Para obter uma lista completa, consulte Sistemas operacionais compatíveis: verificação do Amazon ECR no Guia do usuário do Amazon Inspector.

Um nível de severidade UNDEFINED é retornado

Você poderá receber uma descoberta de verificação que tenha um nível de severidade UNDEFINED. As causas comuns para isso são as seguintes:

  • A origem do CVE não atribuiu uma prioridade à vulnerabilidade.

  • A vulnerabilidade recebeu uma prioridade que o Amazon ECR não reconhece.

Para determinar a gravidade e a descrição de uma vulnerabilidade, você pode exibir o CVE diretamente da origem.

Noções básicas do status de verificação SCAN_ELIGIBILITY_EXPIRED

Quando a verificação aprimorada usando o Amazon Inspector estiver habilitada para seu registro privado e você estiver visualizando suas vulnerabilidades de verificação, poderá ver um status de verificação de SCAN_ELIGIBILITY_EXPIRED. As causas comuns para isso são as seguintes:

  • Quando você ativa inicialmente a verificação avançada para seu registro privado, o Amazon Inspector reconhece apenas imagens enviadas para o Amazon ECR nos últimos 30 dias com base na data e hora do envio da imagem. Imagens mais antigas terão o status de verificação SCAN_ELIGIBILITY_EXPIRED. Se desejar que essas imagens sejam verificadas pelo Amazon Inspector, você deverá enviá-las novamente para o seu repositório.

  • Se ECR re-scan duration (Duração da nova verificação do ECR) for alterada no console do Amazon Inspector e, quando esse tempo decorre, o status da verificação da imagem é alterado para inactive com um código de motivo expired, e todas as descobertas associadas à imagem são programadas para serem fechadas. Com isso, o console do Amazon ECR lista o status da verificação como SCAN_ELIGIBILITY_EXPIRED.