对 Amazon ECR 中的图像扫描进行故障排除 - Amazon ECR
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对 Amazon ECR 中的图像扫描进行故障排除

以下是常见的镜像扫描失败。您可以在 Amazon ECR 控制台中显示图片详情、通过 API 或使用 API Amazon CLI 来查看此类错误。DescribeImageScanFindings

UnsupportedImage错误

尝试对使用 Amazon ECR 不支持其基础镜像扫描的操作系统构建的镜像进行基础扫描时,您可能会得到 UnsupportedImageError 错误。Amazon ECR 支持 Amazon Elastic Container Storage Storage Simple Storage、Amazon Linux 2、Debian、Ubuntu、CentOS、Oracle Linux、Alpine 和 RHEL Linux 发行版的主要版本。一旦分发失去其供应商的支持,Amazon ECR 可能不再支持扫描它是否存在漏洞。Amazon ECR 不支持扫描从 Docker scratch 镜像构建的镜像。

重要

使用增强型扫描时,Amazon Inspector 支持扫描特定操作系统和媒体类型。有关完整列表,请参阅 Amazon Inspector 用户指南中的支持的操作系统和媒体类型

返回 UNDEFINED 严重性级别

您可能会收到严重性级别为 UNDEFINED 的扫描结果。造成这种情况的常见原因如下:

  • CVE 源未向该漏洞分配优先级。

  • 该漏洞被分配了一个 Amazon ECR 无法识别的优先级。

要确定漏洞的严重性和描述,您可以直接从源查看 CVE。

了解扫描状态 SCAN_ELIGIBILITY_EXPIRED

如果您的私有注册表启用了使用 Amazon Inspector 的增强扫描,并且您正在查看扫描漏洞,则可能会看到扫描状态为 SCAN_ELIGIBILITY_EXPIRED。造成这种情况的常见原因如下。

  • 当您为私有注册表初始开启增强扫描时,Amazon Inspector 将仅根据映像推送时间戳识别过去 30 天内推送到 Amazon ECR 的映像。更早映像的扫描状态将为 SCAN_ELIGIBILITY_EXPIRED。如果您需要让 Amazon Inspector 扫描这些映像,则应将其重新推送到您的存储库。

  • 如果在 Amazon Inspector 控制台中更改了 ECR 重新扫描持续时间并且该时间已过,则镜像的扫描状态将会更改为 inactive 并显示原因代码 expired,并且将会计划关闭该镜像的所有关联调查结果。这会导致 Amazon ECR 控制台将扫描状态列为 SCAN_ELIGIBILITY_EXPIRED