※2019/10/29(화) 추가:
공식적으로 발표되었습니다! 아울러, issues도 Closed가 되어 있었습니다.
Native Container Image Scanning in Amazon ECR
공식 문서

※2019/10/27(일) 추가:
다시 사용할 수 있게 되었습니다.
아래의 issues에 경위 등이 기재되어 있습니다.
ECR Image vulnerability scanning #17

※2019/10/25(금) 추가:
본 기능은 사용할 수 없게 된 것 같습니다.

ECR로 스캔?

오늘의 업무중 문득 ECR 화면 보면, 「스캔」의 표시를 찾아낸다.
컨테이너 취약점 진단이 구현되었습니다?
응? 이런 거 있었어. 간과 할 수 있을까. 라는 것으로 만져 보았다.

리포지토리 생성

"푸시시 스캔"화면 메뉴가 있습니다. 우선, 리포지토리를 작성해 본다.


과연, docker push 로 컨테이너 등록할 때 스캔이 달리는 것 같다. 활성화해 봅니다.


활성화되었습니다.

컨테이너를 ECR에 등록

시험에 centos의 컨테이너를 push하여 스캔을 시도합니다.

# centos:latestのコンテナをローカルに落とす。
docker pull centos:latest

# ECR用のタグを設定
docker tag centos:latest [AWSアカウントID].dkr.ecr.ap-northeast-1.amazonaws.com/centos:1.0

# ECRログイン
$(aws ecr get-login --no-include-email --region ap-northeast-1)

# ECRのcentosリポジトリにpushする。
docker push [AWSアカウントID].dkr.ecr.ap-northeast-1.amazonaws.com/centos:1.0

스캔 완료. 그리고 취약성 확인에 ...

스캔은 완료! 취약성이 있는 것 같아서 자세한 내용을 살펴본다.


요약하면 취약점 수와 패키지 당 취약성 설명이 표시됩니다.
예에서는 중요도가 Critical는 없지만, High와 Medium가 각각 지적되었다.
이름이 링크되어 있으므로 클릭하면 ...


지적마다 대처 페이지가 표시된다. 편리.

취약성의 대응을 해본다.

패키지 버전 업을 함으로써 취약성 지적이 줄어드는지 확인해 본다.

FROM centos:latest
LABEL maintainer "portfield"

RUN yum -y update && yum clean all

OS 업데이트하기 Dockerfile를 쓴다. 간단.centos 디렉토리에 파일 배치.

# ECR用でバージョン上げてDockerイメージ作成
docker build -t [AWSアカウントID].dkr.ecr.ap-northeast-1.amazonaws.com/centos:1.1 centos

# ECRのcentosリポジトリにpushする。
docker push [AWSアカウントID].dkr.ecr.ap-northeast-1.amazonaws.com/centos:1.1

다시 스캔 완료. 취약성 확인에 ...

위가 OS 업데이트 전, 아래가 OS 업데이트 후의 Docker 이미지.
취약성 건수가 줄어들기 때문에 OS 업데이트에 의해 취약성이 줄어든 것을 알 수 있다.
상세도 보자.


OS 업데이트만으로는 대처할 수 없었던 취약성이 표시된다.
이름의 링크와 설명을 의지에 대응하자. 이번에는 대응하지 않는다. .

스캔을 활성화하지 않아도 OK.

수동 실행이 가능하므로 괜찮습니다.


이와 같이 진행중이 되어, 최종적으로 완료한다.

요약

· 이상과 같이, 리포지토리의 설정을 유효하게 하는 것만으로, 간단하게 사용할 수가 있었다.
CI/CD의 일환으로 소스 갱신시에 Docker 이미지를 자동 작성해, ECR에 push하고 있는 케이스도 많다고 생각하므로, 편리하게 사용할 수 있을 것 같다.
·라고 할까, 원래 있었던 것일까? ? ? 문서를 찾아도 찾을 수 없습니다. .
뒤에서 무엇을 베이스로 스캔하고 있는지, 정보가 있으면 좋겠습니다. .