ECR のイメージスキャンで検出された脆弱性を修正しましたが、引き続き検出されます。なぜでしょうか?

2021.10.27

困っていた内容

ECR のコンテナイメージスキャン機能で脆弱性が修正されたコンテナイメージをプッシュしましたが、脆弱性が検出されました。なぜ検出されたのでしょうか。

どう対応すればいいの?

CVEで脆弱性の詳細をご確認ください。

共通脆弱性識別子CVE概説:IPA 独立行政法人 情報処理推進機構

共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)は、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子です。脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。

コンテナイメージスキャン機能は、CVE データベースを使用して、スキャン結果を提供しています。そのため、ソフトウェアベンダーから提供された脆弱性修正済みのバージョンにアップデートしても、CVEに脆弱性の修正されたバージョン情報が反映されていない場合は、引き続き脆弱性として検知されます。

コンテナイメージスキャン機能は、ソフトウェアベンダー等の情報がリアルタイムで反映されるものではないことをご理解いただき、必要に応じてAWS コンテナパートナーソリューションが提供するソリューションのご利用もご検討ください。

なお、コンテナイメージスキャン機能は、オープンソースの Clair プロジェクトを利用しています。

参考資料