정적 스캐닝 서비스
- 이미지 배포 전에 수행되는 보안 활동
- ECR에서 제공하는 정적 스캐닝은 컨테이너에 포함된 OS와 패키지를 대상으로 CVE(Common Vulnerabilities and Exposures)을 스캐닝해서 취약점을 탐색한다.
오픈소스인 Clair 프로젝트의 CVE 데이터베이스를 사용해서 취약점에 대한 정책 분석을 수행한 후에 결과를 제공
CVSS를 제공하여 취약점의 스코어 정보를 제공
두가지 방식
- ad hoc 방식, 필요할 때 스캐닝을 수행
- scan on push 방식, 이미지가 ECR에 푸시되어 업로드가 완료될 때 스캐닝 수행
→ 스캐닝 끝나면 그 결과를 Amazon EventBridge를 사용하여 노티를 받거나 액션을 취할 수 있도록 구성할 수 있다.
이미지당 하루 한번의 스캐닝 제약이 있음 but free~
이미지 스캐닝 후, console/cli로 스캐닝 결과 볼 수 있음
<Console>
<Console 상세>
<CLI>
해당결과를 이용하여 보안환경이 포함된 컨테이너 CI/CD 파이프라인을 만들 수 있다.
