排查镜像扫描问题 - Amazon ECR
了解扫描状态 SCAN_ELIGIBILITY_EXPIRED
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

排查镜像扫描问题

以下是常见的镜像扫描失败。您可以在 Amazon ECR 控制台中通过显示镜像详细信息或通过 API 或 Amazon CLI 使用 DescribeImageScanFindings API 来查看此类错误。

UnsupportedImageError

尝试对使用 Amazon ECR 不支持其基础镜像扫描的操作系统构建的镜像进行基础扫描时,您可能会得到 UnsupportedImageError 错误。Amazon ECR 支持 Amazon Elastic Container Storage Storage Simple Storage、Amazon Linux 2、Debian、Ubuntu、CentOS、Oracle Linux、Alpine 和 RHEL Linux 发行版的主要版本。一旦分发失去其供应商的支持,Amazon ECR 可能不再支持扫描它是否存在漏洞。Amazon ECR 不支持扫描从 Docker scratch 镜像构建的镜像。

重要

使用增强型扫描时,Amazon Inspector 支持扫描特定操作系统和媒体类型。有关完整列表,请参阅 Amazon Inspector 用户指南中的支持的操作系统和媒体类型

返回 UNDEFINED 严重性级别

您可能会收到严重性级别为 UNDEFINED 的扫描结果。造成这种情况的常见原因如下:

  • CVE 源未向该漏洞分配优先级。

  • 该漏洞被分配了一个 Amazon ECR 无法识别的优先级。

要确定漏洞的严重性和描述,您可以直接从源查看 CVE。

了解扫描状态 SCAN_ELIGIBILITY_EXPIRED

如果您的私有注册表启用了使用 Amazon Inspector 的增强扫描,并且您正在查看扫描漏洞,则可能会看到扫描状态为 SCAN_ELIGIBILITY_EXPIRED。造成这种情况的常见原因如下。

  • 如果过去 30 天内没有根据镜像推送时间戳更新镜像,则会暂停对该镜像的连续扫描。暂停扫描的镜像将显示扫描状态 SCAN_ELIGIBILITY_EXPIRED

  • 如果在 Amazon Inspector 控制台中更改了 ECR 重新扫描持续时间并且该时间已过,则镜像的扫描状态将会更改为 inactive 并显示原因代码 expired,并且将会计划关闭该镜像的所有关联调查结果。这会导致 Amazon ECR 控制台将扫描状态列为 SCAN_ELIGIBILITY_EXPIRED