Ansichten:
Profilanwendbarkeit: Stufe 1
Bilder, die auf Amazon EKS bereitgestellt werden, auf Schwachstellen DURCHSUCHEN.
Schwachstellen in Softwarepaketen können von Hackern oder bösartigen Benutzern ausgenutzt werden, um unbefugten Zugriff auf lokale Cloud-Ressourcen zu erhalten. Amazon ECR und andere Drittanbieterprodukte ermöglichen das Scannen von Bildern auf bekannte Schwachstellen.
Hinweis
Hinweis
Bilder werden standardmäßig nicht gescannt.

Auswirkung

Wenn Sie AWS ECR verwenden
Die folgenden sind häufige Fehler beim DURCHSUCHEN von Bildern. Sie können solche Fehler in der Amazon ECR-Konsole anzeigen, indem Sie die Bilddetails anzeigen oder über die API oder AWS CLI mit der DescribeImageScanFindings API.
  • Sie könnten einen UnsupportedImageError-Fehler erhalten, wenn Sie versuchen, ein Image zu durchsuchen, das mit einem Betriebssystem erstellt wurde, für das Amazon ECR keine Bilddurchsuchung unterstützt. Amazon ECR unterstützt die Schwachstellensuche für Hauptversionen von Amazon Linux, Amazon Linux 2, Debian, Ubuntu, CentOS, Oracle Linux, Alpine und RHEL Linux-Distributionen. Amazon ECR unterstützt keine Durchsuchung von Bildern, die aus dem Docker-Scratch-Image erstellt wurden.
  • Ein Schweregrad von UNDEFINED wird zurückgegeben. Möglicherweise erhalten Sie ein Scan-Ergebnis mit einem Schweregrad von UNDEFINED. Die folgenden sind die häufigsten Ursachen dafür:
    • Die Sicherheitslücke wurde von der CVE-Quelle keiner Priorität zugewiesen.
    • Der Sicherheitslücke wurde eine Priorität zugewiesen, die von Amazon ECR nicht erkannt wurde.
Um die Schwere und Beschreibung einer Sicherheitslücke zu bestimmen, können Sie die CVE direkt aus der Quelle einsehen.

Prüfung

Bitte befolgen Sie die Richtlinien von AWS ECS oder Ihrem Drittanbieter-Bildscananbieter, um die Bildscannung zu aktivieren. 
aws ecr describe-repositories --repository-names $REPO_NAME --region $REGION_CODE

Wiederherstellung

Um AWS ECR für das Scannen von Images zu nutzen, befolgen Sie bitte die folgenden Schritte. Um ein Repository zu erstellen, das für das Scannen beim Push konfiguriert ist (AWS CLI):
aws ecr create-repository --repository-name $REPO_NAME --image-scanning-
configuration scanOnPush=true --region $REGION_CODE
Um die Einstellungen eines bestehenden Repositorys zu bearbeiten (AWS CLI):
aws ecr put-image-scanning-configuration --repository-name $REPO_NAME --
image-scanning-configuration scanOnPush=true --region $REGION_CODE
Verwenden Sie die folgenden Schritte, um einen manuellen Bild-Durchsuchung mit der AWS Management Console zu starten.
  1. Öffnen Sie die Amazon ECR-Konsole unter https://console.aws.amazon.com/ecr/repositories.
  2. Wählen Sie in der Navigationsleiste die Region aus, in der Sie Ihr Repository erstellen möchten.
  3. Wählen Sie im Navigationsbereich Repositories aus.
  4. On the Repositories page, choose the repository that contains the image to scan.
  5. Auf der Seite Bilder wählen Sie das Bild aus, das Sie durchsuchen möchten, und wählen Sie dann Durchsuchen.