기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 이미지에서 Amazon ECR의 OS 취약성 스캔
Amazon ECR 기본 스캔은 AWS 네이티브 기술을 사용하여 컨테이너 이미지에서 소프트웨어 취약성을 스캔합니다. 기본 스캔은 널리 사용되는 광범위한 운영 체제에서 취약성을 감지하여 50개 이상의 데이터 피드를 소싱하여 일반적인 취약성 및 노출(CVEs)에 대한 조사 결과를 생성합니다. 이러한 소스에는 공급업체 보안 권고, 데이터 피드, 위협 인텔리전스 피드, 국가 취약성 데이터베이스(NVD) 및 MITRE가 포함됩니다.
Amazon ECR 기본 스캔은 리전[AWS 별 서비스에](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) 나열된 모든 리전에서 지원됩니다.
Amazon ECR은 가능한 경우 업스트림 배포 소스의 CVE에 대한 심각도를 사용합니다. 그렇지 않으면 공통 취약성 평가 시스템(CVSS) 점수가 사용됩니다. CVSS 점수를 사용하여 NVD 취약성 심각도 등급을 얻을 수 있습니다. 자세한 내용은 [NVD 취약성 심각도 등급](https://nvd.nist.gov/vuln-metrics/cvss)을 참조하세요.
Amazon ECR 기본 스캔은 필터를 지원하여 푸시 시 스캔할 리포지토리를 지정합니다. 푸시 필터의 스캔과 일치하지 않는 리포지토리는 ** 수동** 스캔 빈도로 설정되므로 스캔을 수동으로 시작해야 합니다. 이미지는 24시간마다 한 번만 스캔할 수 있습니다. 이 24시간에는 최초의 푸시할 때 스캔(구성된 경우) 및 모든 수동 스캔이 포함됩니다. 기본 스캔을 사용하면 주어진 레지스트리에서 24시간당 최대 100,000개의 이미지를 스캔할 수 있습니다.
각 이미지에 대해 마지막으로 완료된 이미지 스캔 결과를 검색할 수 있습니다. 이미지 스캔이 완료되면 Amazon ECR은 Amazon EventBridge로 이벤트를 전송합니다. 자세한 내용은 [Amazon ECR 이벤트 및 EventBridge](ecr-eventbridge.md) 단원을 참조하십시오.
## 기본 스캔을 위한 운영 체제 지원
보안 모범 사례에 따르고 지속적인 보장을 받을 수 있도록 지원되는 버전의 운영 체제를 계속 사용하는 것이 좋습니다. 공급업체 정책에 따라 중단된 운영 체제는 더 이상 패치로 업데이트되지 않으므로 대부분의 경우 해당 운영 체제에 대한 새로운 보안 권고도 더 이상 발표되지 않습니다. 또한 일부 공급업체의 경우 영향을 받는 운영 체제의 표준 지원이 종료되면 피드에서 기존 보안 권고 및 탐지를 제거합니다. 배포판이 공급업체의 지원을 받지 못하게 되면 Amazon ECR에서 취약성 검색을 더 이상 지원하지 않을 수 있습니다. 중단된 운영 체제에 대해 Amazon ECR이 생성하는 모든 결과는 정보 제공 목적으로만 사용해야 합니다. 지원되는 운영 체제 및 버전의 전체 목록은 [ Amazon Inspector 사용 설명서의 지원되는 운영 체제 - Amazon Inspector 스캔을](https://docs.aws.amazon.com/inspector/latest/user/supported.html#supported-os-scan-inspector-scan) 참조하세요. *Amazon Inspector *
# Amazon ECR의 이미지에 대한 기본 스캔 구성
기본적으로 Amazon ECR은 모든 프라이빗 레지스트리에 대해 기본 스캔을 켭니다. 따라서 프라이빗 레지스트리에서 스캔 설정을 변경하지 않는 한 기본 스캔을 켤 필요가 없습니다.
다음 단계에 따라 하나 이상의 푸시할 때 스캔 필터를 정의할 수 있습니다.
**프라이빗 레지스트리에 대한 기본 스캔을 켜려면**
1. [ https://console.aws.amazon.com/ecr/private-registry/repositories Amazon ECR 콘솔을 엽니다.](https://console.aws.amazon.com/ecr/private-registry/repositories)
1. 탐색 모음에서 스캔 구성을 설정할 리전을 선택합니다.
1. 탐색 창에서 **프라이빗 레지스트리**, ** 스캔을** 선택합니다.
1. **스캔 구성** 페이지의 **스캔 유형**에서 **기본 스캔**을 선택합니다.
1. 기본적으로 모든 리포지토리는 **수동** 스캔으로 설정됩니다. 필요에 따라 **필터 푸시 시 스캔**을 지정하여 푸시할 때 스캔을 구성할 수 있습니다. 모든 리포지토리 또는 개별 리포지토리에 대해 푸시할 때 스캔을 설정할 수 있습니다. 자세한 내용은 [Amazon ECR에서 스캔할 리포지토리를 선택하는 필터](image-scanning-filters.md) 단원을 참조하십시오.
**참고**
리포지토리에 대해 푸시 시 스캔이 활성화된 경우 보관 후 복원된 이미지에 대해서도 스캔이 수행됩니다. 복원된 이미지에서는 이전 스캔을 사용할 수 없습니다.
# 이미지에서 Amazon ECR의 OS 취약성 수동 스캔
리포지토리에 **푸시할 때 스캔**이 구성되어 있지 않은 경우 이미지 스캔을 수동으로 시작할 수 있습니다. 이미지는 24시간마다 한 번만 스캔할 수 있습니다. 이 24시간에는 최초의 푸시할 때 스캔(구성된 경우) 및 모든 수동 스캔이 포함됩니다.
이미지 스캔 시 몇 가지 일반적인 문제에 대한 문제 해결 세부 정보를 보려면 [Amazon ECR에서 이미지 스캔 문제 해결](image-scanning-troubleshooting.md) 단원을 참조하세요.
------
#### [ AWS Management Console ]
AWS Management Console을 사용하여 수동 이미지 스캔을 시작하려면 다음 단계를 따르세요.
1. [ https://console.aws.amazon.com/ecr/private-registry/repositories Amazon ECR 콘솔을 엽니다.](https://console.aws.amazon.com/ecr/private-registry/repositories)
1. 탐색 모음에서 리포지토리를 생성할 리전을 선택합니다.
1. 탐색 창에서 **리포지토리**를 선택합니다.
1. **리포지토리(Repositories)** 페이지에서 스캔할 이미지가 들어 있는 리포지토리를 선택합니다.
1. **이미지(Images)** 페이지에서 스캔할 이미지를 선택한 다음 **스캔(Scan)**을 선택합니다.
------
#### [ AWS CLI ]
+ [ start-image-scan](https://docs.aws.amazon.com/cli/latest/reference/ecr/start-image-scan.html)(AWS CLI)
다음 예에서는 이미지 태그를 사용합니다.
```
aws ecr start-image-scan --repository-name name --image-id imageTag=tag_name --region us-east-2
```
다음 예에서는 이미지 다이제스트를 사용합니다.
```
aws ecr start-image-scan --repository-name name --image-id imageDigest=sha256_hash --region us-east-2
```
------
#### [ AWS Tools for Windows PowerShell ]
+ [ Get-ECRImageScanFinding](https://docs.aws.amazon.com/powershell/latest/reference/items/Start-ECRImageScan.html)(AWS Tools for Windows PowerShell)
다음 예에서는 이미지 태그를 사용합니다.
```
Start-ECRImageScan -RepositoryName name -ImageId_ImageTag tag_name -Region us-east-2 -Force
```
다음 예에서는 이미지 다이제스트를 사용합니다.
```
Start-ECRImageScan -RepositoryName name -ImageId_ImageDigest sha256_hash -Region us-east-2 -Force
```
------
# Amazon ECR에서 기본 스캔 결과 검색
마지막으로 완료된 기본 이미지 스캔의 스캔 결과를 검색할 수 있습니다. 발견된 소프트웨어 취약성은 일반적인 취약성 및 노출도(CVE) 데이터베이스에 기반한 심각도를 기준으로 나열됩니다.
이미지 스캔 시 몇 가지 일반적인 문제에 대한 문제 해결 세부 정보를 보려면 [Amazon ECR에서 이미지 스캔 문제 해결](image-scanning-troubleshooting.md) 단원을 참조하세요.
------
#### [ AWS Management Console ]
AWS Management Console을 사용하여 이미지 스캔 결과를 검색하려면 다음 단계를 따르세요.
**이미지 스캔 결과를 검색하려면**
1. [ https://console.aws.amazon.com/ecr/private-registry/repositories Amazon ECR 콘솔을 엽니다.](https://console.aws.amazon.com/ecr/private-registry/repositories)
1. 탐색 모음에서 리포지토리를 생성할 리전을 선택합니다.
1. 탐색 창에서 **리포지토리**를 선택합니다.
1. **리포지토리(Repositories)** 페이지에서 스캔 결과를 검색할 이미지가 포함된 리포지토리를 선택합니다.
1. **이미지** 페이지의 **이미지 태그** 열에서 스캔 결과를 검색할 이미지 태그를 선택합니다.
------
#### [ AWS CLI ]
다음 AWS CLI 명령을 사용하여를 사용하여 이미지 스캔 결과를 검색합니다 AWS CLI. `imageTag` 또는 ` imageDigest`를 사용하여 이미지를 지정할 수 있으며, 둘 다 [list-images](https://docs.aws.amazon.com/cli/latest/reference/ecr/list-images.html) CLI 명령을 사용하여 가져올 수 있습니다.
+ [ describe-image-scan-findings](https://docs.aws.amazon.com/cli/latest/reference/ecr/describe-image-scan-findings.html)(AWS CLI)
다음 예에서는 이미지 태그를 사용합니다.
```
aws ecr describe-image-scan-findings --repository-name name --image-id imageTag=tag_name --region us-east-2
```
다음 예에서는 이미지 다이제스트를 사용합니다.
```
aws ecr describe-image-scan-findings --repository-name name --image-id imageDigest=sha256_hash --region us-east-2
```
------
#### [ AWS Tools for Windows PowerShell ]
+ [ Get-ECRImageScanFinding](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-ECRImageScanFinding.html)(AWS Tools for Windows PowerShell)
다음 예에서는 이미지 태그를 사용합니다.
```
Get-ECRImageScanFinding -RepositoryName name -ImageId_ImageTag tag_name -Region us-east-2
```
다음 예에서는 이미지 다이제스트를 사용합니다.
```
Get-ECRImageScanFinding -RepositoryName name -ImageId_ImageDigest sha256_hash -Region us-east-2
```
------