ECR Image Scanning

• 정적 스캐닝 서비스
  
  - 이미지 배포 전에 수행되는 보안 활동
  - ECR에서 제공하는 정적 스캐닝은 컨테이너에 포함된 OS와 패키지를 대상으로 CVE(Common Vulnerabilities and Exposures)을 스캐닝해서 취약점을 탐색한다.
• 오픈소스인 Clair 프로젝트의 CVE 데이터베이스를 사용해서 취약점에 대한 정책 분석을 수행한 후에 결과를 제공
• CVSS를 제공하여 취약점의 스코어 정보를 제공
• 두가지 방식
  - ad hoc 방식, 필요할 때 스캐닝을 수행
  - scan on push 방식, 이미지가 ECR에 푸시되어 업로드가 완료될 때 스캐닝 수행
  → 스캐닝 끝나면 그 결과를 Amazon EventBridge를 사용하여 노티를 받거나 액션을 취할 수 있도록 구성할 수 있다.
• 이미지당 하루 한번의 스캐닝 제약이 있음 but free~
• 이미지 스캐닝 후, console/cli로 스캐닝 결과 볼 수 있음
  <Console>
  
  <Console 상세>
  
  <CLI>
  
  
  해당결과를 이용하여 보안환경이 포함된 컨테이너 CI/CD 파이프라인을 만들 수 있다.