- 이미지 배포 전에 수행되는 보안 활동
- ECR에서 제공하는 정적 스캐닝은 컨테이너에 포함된 OS와 패키지를 대상으로 CVE(Common Vulnerabilities and Exposures)을 스캐닝해서 취약점을 탐색한다.
오픈소스인 Clair 프로젝트의 CVE 데이터베이스를 사용해서 취약점에 대한 정책 분석을 수행한 후에 결과를 제공
CVSS를 제공하여 취약점의 스코어 정보를 제공
두가지 방식
- ad hoc 방식, 필요할 때 스캐닝을 수행
- scan on push 방식, 이미지가 ECR에 푸시되어 업로드가 완료될 때 스캐닝 수행
→ 스캐닝 끝나면 그 결과를 Amazon EventBridge를 사용하여 노티를 받거나 액션을 취할 수 있도록 구성할 수 있다.