本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
對 Amazon ECR 中的映像掃描進行故障診斷
以下是常見的映像掃描失敗。您可以透過顯示映像詳細資訊或透過 API AWS CLI 或使用 DescribeImageScanFindings API,在 Amazon ECR 主控台中檢視這類錯誤。
- UnsupportedImageError
-
嘗試對使用 Amazon ECR 不支援基本映像掃描的作業系統建置的映像執行基本型掃描時,您可能會收到
UnsupportedImageError錯誤訊息。Amazon ECR 支援對 Amazon Linux、Amazon Linux 2、Debian、Ubuntu、CentOS、Oracle Linux、Alpine 和 RHEL Linux 發行版本的主要版本進行包漏洞掃描。一旦發行版本失去廠商的支援,Amazon ECR 可能不再支援掃描它是否有漏洞。Amazon ECR 不支援掃描從 Docker scratch映像建置的映像。 重要
使用增強型掃描時,Amazon Inspector 支援掃描特定類型的作業系統和媒體。如需完整清單,請參閱《Amazon Inspector 使用者指南》中的支援的作業系統和媒體類型。
- 傳回
UNDEFINED嚴重性等級。 -
您可能會收到具有
UNDEFINED嚴重性等級的掃描結果。下列是造成此問題的常見原因:-
CVE 來源未指派漏洞的優先順序。
-
Amazon ECR 無法辨識指派給漏洞的優先順序。
若要判定漏洞的嚴重性和描述,您可以直接從來源檢視 CVE。
-
了解掃描狀態 SCAN_ELIGIBILITY_EXPIRED
當為您的私有登錄檔啟用使用 Amazon Inspector 的增強型掃描而且您正在檢視掃描弱點時,您可能會看到掃描狀態為 SCAN_ELIGIBILITY_EXPIRED。以下是造成此問題的最常見原因。
-
當您一開始為私有登錄檔開啟增強型掃描時,Amazon Inspector 只會根據映像推送時間戳記,辨識過去 30 天內推送至 Amazon ECR 的映像。較舊的映像會具有
SCAN_ELIGIBILITY_EXPIRED掃描狀態。如果您希望 Amazon Inspector 掃描這些映像,則必須將這些映像再次推送到儲存庫中。 -
如果在 Amazon Inspector 主控台中變更 ECR re-scan duration (ECR 重新掃描持續時間),且經過這段時間後,映像的掃描狀態變更為
inactive並出現原因代碼expired,且該映像的所有相關發現結果都排定為關閉。這會導致 Amazon ECR 主控台將掃描狀態列示為SCAN_ELIGIBILITY_EXPIRED。
