設定檔適用性:等級 1
掃瞄正在部署到 Amazon EKS 的映像檔以檢查弱點。
軟體套件中的弱點可能會被駭客或惡意使用者利用,以獲取對本地雲端資源的未經授權訪問。Amazon ECR 和其他第三方產品允許對映像進行已知弱點的掃描。
 |
注意預設不會掃描圖片。
|
影響
如果您正在使用 AWS ECR
以下是常見的影像掃瞄失敗。您可以在 Amazon ECR 主控台中顯示影像詳細資訊,或透過 API 或 AWS CLI 使用
DescribeImageScanFindings API 來查看此類錯誤。-
當您嘗試掃瞄使用 Amazon ECR 不支援映像掃瞄的作業系統建置的映像時,可能會遇到
UnsupportedImageError錯誤。Amazon ECR 支援對 Amazon Linux、Amazon Linux 2、Debian、Ubuntu、CentOS、Oracle Linux、Alpine 和 RHEL Linux 發行版的主要版本進行套件弱點掃瞄。Amazon ECR 不支援掃瞄從 Docker scratch 映像建置的映像。 -
返回的嚴重性等級為
UNDEFINED。您可能會收到具有UNDEFINED嚴重性等級的掃瞄結果。以下是此情況的常見原因:-
該弱點未被 CVE 資源分配優先級。
-
該弱點被分配了一個 Amazon ECR 無法識別的優先級。
-
要確定弱點的嚴重性和描述,您可以直接從來源查看 CVE。
稽核
請遵循 AWS ECS 或您第三方影像掃描提供者的指導方針來啟用影像掃描。
aws ecr describe-repositories --repository-names $REPO_NAME --region $REGION_CODE
補救
若要使用 AWS ECR 進行映像掃瞄,請按照以下步驟操作。要建立配置為推送時掃瞄的儲存庫(AWS CLI):
aws ecr create-repository --repository-name $REPO_NAME --image-scanning- configuration scanOnPush=true --region $REGION_CODE
要編輯現有儲存庫的設定(AWS CLI):
aws ecr put-image-scanning-configuration --repository-name $REPO_NAME -- image-scanning-configuration scanOnPush=true --region $REGION_CODE
使用以下步驟透過 AWS 管理控制台開始手動影像掃瞄。
-
在 https://console.aws.amazon.com/ecr/repositories 開啟 Amazon ECR 主控台。
-
從導航列中選擇區域以建立您的儲存庫。
-
在導覽窗格中,選擇儲存庫。
-
在儲存庫頁面上,選擇包含要掃瞄的映像檔的儲存庫。
-
在圖片頁面上,選擇要掃瞄的圖片,然後選擇掃瞄。