ECR 基本スキャン vs 強化スキャン
| 項目 | 基本スキャン (Basic) | 強化スキャン (Enhanced) |
|---|---|---|
| スキャン対象 | OSパッケージの脆弱性のみ | OS + プログラミング言語パッケージの脆弱性 |
| スキャン頻度 | 手動 / プッシュ時 | プッシュ時 / 継続的スキャン |
| スキャンエンジン | AWS native (推奨) または Clair (非推奨) | Amazon Inspector |
| 料金 | 無料 | Amazon Inspectorの料金が発生 |
| 継続的な更新 | なし(再スキャンが必要) | 新しい脆弱性が発見されると自動更新 |
出典: [Scan images for software vulnerabilities in Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/ userguide/image-scanning.html)
Enhanced scanning – Amazon ECR integrates with Amazon Inspector to provide automated, continuous scanning of your repositories. Your container images are scanned for both operating systems and programming language package vulnerabilities.
出典: Scan images for OS vulnerabilities in Amazon ECR
Amazon ECR basic scanning support filters to specify which repositories to scan on push and can scan up to 100,000 images per 24 hours in a given registry.
スキャンのタイミング
- 基本スキャン (Basic scanning)
| タイミング | 説明 |
|---|---|
| 手動 (Manual) | aws ecr start-image-scanコマンドやコンソールから手動実行 |
| プッシュ時 (Scan on push) | イメージをリポジトリにプッシュしたタイミングで自動実行 |
- 拡張スキャン (Enhanced scanning)
| タイミング | 説明 |
|---|---|
| プッシュ時 (Scan on push) | イメージをリポジトリにプッシュしたタイミングで自動実行 |
| 継続的 (Continuous) | 新しい脆弱性(CVE)が公開されると自動で再スキャン |
出典: [Scan images for software vulnerabilities in Amazon ECR](https://docs.aws.amazon.com/AmazonECR/latest/ userguide/image-scanning.html)
As new vulnerabilities appear, the scan results are updated and Amazon Inspector emits an event to EventBridge to notify you.
ポイント:
- 基本スキャンは一度スキャンしたら結果は固定(新しいCVEが出ても自動更新されない)
- 拡張スキャンの継続的スキャンは、イメージを再プッシュしなくても新しい脆弱性が見つかれば結果が更新される
使い分け
- 基本スキャン: コストを抑えたい、OSレベルの脆弱性チェックで十分な場合
- 強化スキャン: Node.js、Python、Javaなどのアプリケーション依存関係も含めてスキャンしたい、継続的に脆弱性を監視したい場合