ECR에서 컨테이너 취약성 진단이 표준 구현되었으므로 시도했습니다.
공식적으로 발표되었습니다! 아울러, issues도 Closed가 되어 있었습니다.
Native Container Image Scanning in Amazon ECR
공식 문서
※2019/10/27(일) 추가:
다시 사용할 수 있게 되었습니다.
아래의 issues에 경위 등이 기재되어 있습니다.
ECR Image vulnerability scanning #17
※2019/10/25(금) 추가:
본 기능은 사용할 수 없게 된 것 같습니다.
ECR로 스캔?
오늘의 업무중 문득 ECR 화면 보면, 「스캔」의 표시를 찾아낸다.
컨테이너 취약점 진단이 구현되었습니다?
응? 이런 거 있었어. 간과 할 수 있을까. 라는 것으로 만져 보았다.
리포지토리 생성
"푸시시 스캔"화면 메뉴가 있습니다. 우선, 리포지토리를 작성해 본다.
과연, docker push
로 컨테이너 등록할 때 스캔이 달리는 것 같다. 활성화해 봅니다.
활성화되었습니다.
컨테이너를 ECR에 등록
시험에 centos의 컨테이너를 push하여 스캔을 시도합니다.
# centos:latestのコンテナをローカルに落とす。
docker pull centos:latest
# ECR用のタグを設定
docker tag centos:latest [AWSアカウントID].dkr.ecr.ap-northeast-1.amazonaws.com/centos:1.0
# ECRログイン
$(aws ecr get-login --no-include-email --region ap-northeast-1)
# ECRのcentosリポジトリにpushする。
docker push [AWSアカウントID].dkr.ecr.ap-northeast-1.amazonaws.com/centos:1.0
스캔 완료. 그리고 취약성 확인에 ...
스캔은 완료! 취약성이 있는 것 같아서 자세한 내용을 살펴본다.
요약하면 취약점 수와 패키지 당 취약성 설명이 표시됩니다.
예에서는 중요도가 Critical
는 없지만, High
와 Medium
가 각각 지적되었다.
이름이 링크되어 있으므로 클릭하면 ...
지적마다 대처 페이지가 표시된다. 편리.
취약성의 대응을 해본다.
패키지 버전 업을 함으로써 취약성 지적이 줄어드는지 확인해 본다.
FROM centos:latest
LABEL maintainer "portfield"
RUN yum -y update && yum clean all
OS 업데이트하기 Dockerfile
를 쓴다. 간단.centos
디렉토리에 파일 배치.
# ECR用でバージョン上げてDockerイメージ作成
docker build -t [AWSアカウントID].dkr.ecr.ap-northeast-1.amazonaws.com/centos:1.1 centos
# ECRのcentosリポジトリにpushする。
docker push [AWSアカウントID].dkr.ecr.ap-northeast-1.amazonaws.com/centos:1.1
다시 스캔 완료. 취약성 확인에 ...
위가 OS 업데이트 전, 아래가 OS 업데이트 후의 Docker 이미지.
취약성 건수가 줄어들기 때문에 OS 업데이트에 의해 취약성이 줄어든 것을 알 수 있다.
상세도 보자.
OS 업데이트만으로는 대처할 수 없었던 취약성이 표시된다.
이름의 링크와 설명을 의지에 대응하자. 이번에는 대응하지 않는다. .
스캔을 활성화하지 않아도 OK.
수동 실행이 가능하므로 괜찮습니다.
이와 같이 진행중이 되어, 최종적으로 완료한다.
요약
· 이상과 같이, 리포지토리의 설정을 유효하게 하는 것만으로, 간단하게 사용할 수가 있었다.
CI/CD의 일환으로 소스 갱신시에 Docker 이미지를 자동 작성해, ECR에 push하고 있는 케이스도 많다고 생각하므로, 편리하게 사용할 수 있을 것 같다.
·라고 할까, 원래 있었던 것일까? ? ? 문서를 찾아도 찾을 수 없습니다. .
뒤에서 무엇을 베이스로 스캔하고 있는지, 정보가 있으면 좋겠습니다. .
Reference
이 문제에 관하여(ECR에서 컨테이너 취약성 진단이 표준 구현되었으므로 시도했습니다.), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/portfield_slash/items/8d27eb29eb8530eae546
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
"푸시시 스캔"화면 메뉴가 있습니다. 우선, 리포지토리를 작성해 본다.
과연,
docker push
로 컨테이너 등록할 때 스캔이 달리는 것 같다. 활성화해 봅니다.활성화되었습니다.
컨테이너를 ECR에 등록
시험에 centos의 컨테이너를 push하여 스캔을 시도합니다.
# centos:latestのコンテナをローカルに落とす。
docker pull centos:latest
# ECR用のタグを設定
docker tag centos:latest [AWSアカウントID].dkr.ecr.ap-northeast-1.amazonaws.com/centos:1.0
# ECRログイン
$(aws ecr get-login --no-include-email --region ap-northeast-1)
# ECRのcentosリポジトリにpushする。
docker push [AWSアカウントID].dkr.ecr.ap-northeast-1.amazonaws.com/centos:1.0
스캔 완료. 그리고 취약성 확인에 ...
스캔은 완료! 취약성이 있는 것 같아서 자세한 내용을 살펴본다.
요약하면 취약점 수와 패키지 당 취약성 설명이 표시됩니다.
예에서는 중요도가 Critical
는 없지만, High
와 Medium
가 각각 지적되었다.
이름이 링크되어 있으므로 클릭하면 ...
지적마다 대처 페이지가 표시된다. 편리.
취약성의 대응을 해본다.
패키지 버전 업을 함으로써 취약성 지적이 줄어드는지 확인해 본다.
FROM centos:latest
LABEL maintainer "portfield"
RUN yum -y update && yum clean all
OS 업데이트하기 Dockerfile
를 쓴다. 간단.centos
디렉토리에 파일 배치.
# ECR用でバージョン上げてDockerイメージ作成
docker build -t [AWSアカウントID].dkr.ecr.ap-northeast-1.amazonaws.com/centos:1.1 centos
# ECRのcentosリポジトリにpushする。
docker push [AWSアカウントID].dkr.ecr.ap-northeast-1.amazonaws.com/centos:1.1
다시 스캔 완료. 취약성 확인에 ...
위가 OS 업데이트 전, 아래가 OS 업데이트 후의 Docker 이미지.
취약성 건수가 줄어들기 때문에 OS 업데이트에 의해 취약성이 줄어든 것을 알 수 있다.
상세도 보자.
OS 업데이트만으로는 대처할 수 없었던 취약성이 표시된다.
이름의 링크와 설명을 의지에 대응하자. 이번에는 대응하지 않는다. .
스캔을 활성화하지 않아도 OK.
수동 실행이 가능하므로 괜찮습니다.
이와 같이 진행중이 되어, 최종적으로 완료한다.
요약
· 이상과 같이, 리포지토리의 설정을 유효하게 하는 것만으로, 간단하게 사용할 수가 있었다.
CI/CD의 일환으로 소스 갱신시에 Docker 이미지를 자동 작성해, ECR에 push하고 있는 케이스도 많다고 생각하므로, 편리하게 사용할 수 있을 것 같다.
·라고 할까, 원래 있었던 것일까? ? ? 문서를 찾아도 찾을 수 없습니다. .
뒤에서 무엇을 베이스로 스캔하고 있는지, 정보가 있으면 좋겠습니다. .
Reference
이 문제에 관하여(ECR에서 컨테이너 취약성 진단이 표준 구현되었으므로 시도했습니다.), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/portfield_slash/items/8d27eb29eb8530eae546
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
# centos:latestのコンテナをローカルに落とす。
docker pull centos:latest
# ECR用のタグを設定
docker tag centos:latest [AWSアカウントID].dkr.ecr.ap-northeast-1.amazonaws.com/centos:1.0
# ECRログイン
$(aws ecr get-login --no-include-email --region ap-northeast-1)
# ECRのcentosリポジトリにpushする。
docker push [AWSアカウントID].dkr.ecr.ap-northeast-1.amazonaws.com/centos:1.0
스캔은 완료! 취약성이 있는 것 같아서 자세한 내용을 살펴본다.
요약하면 취약점 수와 패키지 당 취약성 설명이 표시됩니다.
예에서는 중요도가
Critical
는 없지만, High
와 Medium
가 각각 지적되었다.이름이 링크되어 있으므로 클릭하면 ...
지적마다 대처 페이지가 표시된다. 편리.
취약성의 대응을 해본다.
패키지 버전 업을 함으로써 취약성 지적이 줄어드는지 확인해 본다.
FROM centos:latest
LABEL maintainer "portfield"
RUN yum -y update && yum clean all
OS 업데이트하기 Dockerfile
를 쓴다. 간단.centos
디렉토리에 파일 배치.
# ECR用でバージョン上げてDockerイメージ作成
docker build -t [AWSアカウントID].dkr.ecr.ap-northeast-1.amazonaws.com/centos:1.1 centos
# ECRのcentosリポジトリにpushする。
docker push [AWSアカウントID].dkr.ecr.ap-northeast-1.amazonaws.com/centos:1.1
다시 스캔 완료. 취약성 확인에 ...
위가 OS 업데이트 전, 아래가 OS 업데이트 후의 Docker 이미지.
취약성 건수가 줄어들기 때문에 OS 업데이트에 의해 취약성이 줄어든 것을 알 수 있다.
상세도 보자.
OS 업데이트만으로는 대처할 수 없었던 취약성이 표시된다.
이름의 링크와 설명을 의지에 대응하자. 이번에는 대응하지 않는다. .
스캔을 활성화하지 않아도 OK.
수동 실행이 가능하므로 괜찮습니다.
이와 같이 진행중이 되어, 최종적으로 완료한다.
요약
· 이상과 같이, 리포지토리의 설정을 유효하게 하는 것만으로, 간단하게 사용할 수가 있었다.
CI/CD의 일환으로 소스 갱신시에 Docker 이미지를 자동 작성해, ECR에 push하고 있는 케이스도 많다고 생각하므로, 편리하게 사용할 수 있을 것 같다.
·라고 할까, 원래 있었던 것일까? ? ? 문서를 찾아도 찾을 수 없습니다. .
뒤에서 무엇을 베이스로 스캔하고 있는지, 정보가 있으면 좋겠습니다. .
Reference
이 문제에 관하여(ECR에서 컨테이너 취약성 진단이 표준 구현되었으므로 시도했습니다.), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/portfield_slash/items/8d27eb29eb8530eae546
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
FROM centos:latest
LABEL maintainer "portfield"
RUN yum -y update && yum clean all
# ECR用でバージョン上げてDockerイメージ作成
docker build -t [AWSアカウントID].dkr.ecr.ap-northeast-1.amazonaws.com/centos:1.1 centos
# ECRのcentosリポジトリにpushする。
docker push [AWSアカウントID].dkr.ecr.ap-northeast-1.amazonaws.com/centos:1.1
위가 OS 업데이트 전, 아래가 OS 업데이트 후의 Docker 이미지.
취약성 건수가 줄어들기 때문에 OS 업데이트에 의해 취약성이 줄어든 것을 알 수 있다.
상세도 보자.
OS 업데이트만으로는 대처할 수 없었던 취약성이 표시된다.
이름의 링크와 설명을 의지에 대응하자. 이번에는 대응하지 않는다. .
스캔을 활성화하지 않아도 OK.
수동 실행이 가능하므로 괜찮습니다.
이와 같이 진행중이 되어, 최종적으로 완료한다.
요약
· 이상과 같이, 리포지토리의 설정을 유효하게 하는 것만으로, 간단하게 사용할 수가 있었다.
CI/CD의 일환으로 소스 갱신시에 Docker 이미지를 자동 작성해, ECR에 push하고 있는 케이스도 많다고 생각하므로, 편리하게 사용할 수 있을 것 같다.
·라고 할까, 원래 있었던 것일까? ? ? 문서를 찾아도 찾을 수 없습니다. .
뒤에서 무엇을 베이스로 스캔하고 있는지, 정보가 있으면 좋겠습니다. .
Reference
이 문제에 관하여(ECR에서 컨테이너 취약성 진단이 표준 구현되었으므로 시도했습니다.), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다
https://qiita.com/portfield_slash/items/8d27eb29eb8530eae546
텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념
(Collection and Share based on the CC Protocol.)
· 이상과 같이, 리포지토리의 설정을 유효하게 하는 것만으로, 간단하게 사용할 수가 있었다.
CI/CD의 일환으로 소스 갱신시에 Docker 이미지를 자동 작성해, ECR에 push하고 있는 케이스도 많다고 생각하므로, 편리하게 사용할 수 있을 것 같다.
·라고 할까, 원래 있었던 것일까? ? ? 문서를 찾아도 찾을 수 없습니다. .
뒤에서 무엇을 베이스로 스캔하고 있는지, 정보가 있으면 좋겠습니다. .
Reference
이 문제에 관하여(ECR에서 컨테이너 취약성 진단이 표준 구현되었으므로 시도했습니다.), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/portfield_slash/items/8d27eb29eb8530eae546텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)