在 Amazon 中对图像扫描进行故障排除 ECR - Amazon ECR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon 中对图像扫描进行故障排除 ECR

以下是常见的镜像扫描失败。您可以在 Amazon ECR 控制台中查看类似的错误,方法是显示图片详情API或 Amazon CLI 使用或DescribeImageScanFindingsAPI。

UnsupportedImageError

当尝试对使用 Amazon ECR 不支持基本图像扫描的操作系统构建的图像执行基本扫描时,您可能会UnsupportedImageError遇到错误。亚马逊ECR支持对主要版本的亚马逊 Linux、亚马逊 Linux 2、Debian、Ubuntu、CentOS、Oracle Linux、Alpine 和 Linux 发行版进行软件包漏洞扫描。RHEL一旦发行版失去供应商的支持,Amazon ECR 可能不再支持对其进行漏洞扫描。亚马逊ECR不支持扫描从 Docker 临时映像中生成的图像。

重要

使用增强型扫描时,Amazon Inspector 支持扫描特定操作系统和媒体类型。有关完整列表,请参阅 Amazon Inspector 用户指南中的支持的操作系统和媒体类型

返回 UNDEFINED 严重性级别

您可能会收到严重性级别为 UNDEFINED 的扫描结果。造成这种情况的常见原因如下:

  • CVE源方未将该漏洞列为优先级。

  • 该漏洞被指定为亚马逊ECR无法识别的优先级。

要确定漏洞的严重性和描述,您可以CVE直接从源头查看。

了解扫描状态 SCAN_ELIGIBILITY_EXPIRED

如果您的私有注册表启用了使用 Amazon Inspector 的增强扫描,并且您正在查看扫描漏洞,则可能会看到扫描状态为 SCAN_ELIGIBILITY_EXPIRED。造成这种情况的常见原因如下。

  • 当您最初为私有注册表开启增强扫描功能时,Amazon Inspector 只能根据图片推送时间戳识别过去 30 天内推送到亚马逊ECR的图像。更早映像的扫描状态将为 SCAN_ELIGIBILITY_EXPIRED。如果您需要让 Amazon Inspector 扫描这些映像,则应将其重新推送到您的存储库。

  • 如果在 Amazon Inspector 控制台中更改了ECR重新扫描持续时间,并且该时间已过,则图像的扫描状态将inactive更改为,原因代码为expired,并且该图像的所有相关发现都将计划关闭。这会导致 Amazon ECR 控制台将扫描状态列为SCAN_ELIGIBILITY_EXPIRED