ECR Image Scanning
-
정적 스캐닝 서비스
- 이미지 배포 전에 수행되는 보안 활동
- ECR에서 제공하는 정적 스캐닝은 컨테이너에 포함된 OS와 패키지를 대상으로 CVE(Common Vulnerabilities and Exposures)을 스캐닝해서 취약점을 탐색한다. - 오픈소스인 Clair 프로젝트의 CVE 데이터베이스를 사용해서 취약점에 대한 정책 분석을 수행한 후에 결과를 제공
- CVSS를 제공하여 취약점의 스코어 정보를 제공
-
두가지 방식
- ad hoc 방식, 필요할 때 스캐닝을 수행
- scan on push 방식, 이미지가 ECR에 푸시되어 업로드가 완료될 때 스캐닝 수행
→ 스캐닝 끝나면 그 결과를 Amazon EventBridge를 사용하여 노티를 받거나 액션을 취할 수 있도록 구성할 수 있다. - 이미지당 하루 한번의 스캐닝 제약이 있음 but free~
-
이미지 스캐닝 후, console/cli로 스캐닝 결과 볼 수 있음
<Console>
<Console 상세>
<CLI>
해당결과를 이용하여 보안환경이 포함된 컨테이너 CI/CD 파이프라인을 만들 수 있다.