本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 對 Amazon ECR 中的映像掃描進行故障診斷
<a name="image-scanning-troubleshooting"></a>

以下是常見的映像掃描失敗。您可以透過顯示映像詳細資訊或透過 API 或使用 AWS CLI ` DescribeImageScanFindings` API，在 Amazon ECR 主控台中檢視這類錯誤。

UnsupportedImageError  
嘗試對使用 Amazon ECR 不支援基本映像掃描的作業系統建置的映像執行基本型掃描時，您可能會收到 `UnsupportedImageError` 錯誤訊息。Amazon ECR 支援對 Amazon Linux、Amazon Linux 2、Debian、Ubuntu、CentOS、Oracle Linux、Alpine 和 RHEL Linux 發行版本的主要版本進行包漏洞掃描。一旦發行版本失去廠商的支援，Amazon ECR 可能不再支援掃描它是否有漏洞。Amazon ECR 不支援掃描從 [Docker scratch](https://hub.docker.com/_/scratch) 映像建置的映像。  
使用增強型掃描時，Amazon Inspector 支援掃描特定類型的作業系統和媒體。如需完整清單，請參閱*《Amazon Inspector 使用者指南》*中的[支援的作業系統和媒體類型](https://docs.aws.amazon.com/inspector/latest/user/enable-disable-scanning-ecr.html#ecr-supported-media)。

傳回 `UNDEFINED` 嚴重性等級。  
您可能會收到具有 ` UNDEFINED` 嚴重性等級的掃描結果。下列是造成此問題的常見原因：  
+ CVE 來源未指派漏洞的優先順序。
+ Amazon ECR 無法辨識指派給漏洞的優先順序。
若要判定漏洞的嚴重性和描述，您可以直接從來源檢視 CVE。

## 了解掃描狀態 `SCAN_ELIGIBILITY_EXPIRED`
<a name="image-scanning-troubleshooting-eligibility"></a>

當為您的私有登錄檔啟用使用 Amazon Inspector 的增強型掃描而且您正在檢視掃描弱點時，您可能會看到掃描狀態為 ` SCAN_ELIGIBILITY_EXPIRED`。以下是造成此問題的最常見原因。
+ 當您一開始為私有登錄檔開啟增強型掃描時，Amazon Inspector 只會根據映像推送時間戳記，辨識過去 30 天內推送至 Amazon ECR 的映像。較舊的映像會具有 ` SCAN_ELIGIBILITY_EXPIRED` 掃描狀態。如果您希望 Amazon Inspector 掃描這些映像，則必須將這些映像再次推送到儲存庫中。
+ 如果在 Amazon Inspector 主控台中變更 **ECR re-scan duration** (ECR 重新掃描持續時間)，且經過這段時間後，映像的掃描狀態變更為 ` inactive` 並出現原因代碼 `expired`，且該映像的所有相關發現結果都排定為關閉。這會導致 Amazon ECR 主控台將掃描狀態列示為 ` SCAN_ELIGIBILITY_EXPIRED`。