컨테이너 스캐닝 문제 해결

컨테이너 스캐닝 문제 해결에 대해 설명합니다.

상세 로깅 활성화

`docker: Error response from daemon: failed to copy xattrs`

오류: `gl-container-scanning-report.json: no matching files`

오류: `unexpected status code 401 Unauthorized: Not Authorized`

오류: `unable to open a file: open /home/gitlab/.cache/trivy/ee/db/metadata.json`

오류: `context deadline exceeded`

오래된 이미지 기반 이미지에서 취약점이 탐지되지 않음

예상 취약점이 탐지되지 않음

경고: `vulnerability database was built X days ago (max allowed age is Y days)`

오류: `Unknown scheme in CS_IMAGE. Allowed schemes: docker, archive`

컨테이너 스캐닝을 사용할 때 다음과 같은 문제가 발생할 수 있습니다. 상세 로깅 활성화 # 컨테이너 스캐닝 job이 수행하는 작업을 자세히 확인해야 할 때 상세 출력을 활성화합니다. 자세한 내용은 디버그 수준 로깅 을 참조하세요. docker: Error response from daemon: failed to copy xattrs # 러너가 docker 실행기를 사용하고 NFS가 사용되는 경우 (예: /var/lib/docker 가 NFS 마운트에 있는 경우) 컨테이너 스캐닝이 다음과 같은 오류로 실패할 수 있습니다: docker: Error response from daemon: failed to copy xattrs: failed to set xattr "security.selinux" on /path/to/file: operation not supported. 이 오류는 현재 수정된 Docker의 버그 결과입니다. 오류를 방지하려면 러너가 사용하는 Docker 버전이 18.09.03 이상인지 확인하세요. 자세한 내용은 이슈 #10241 을 참조하세요. 오류: gl-container-scanning-report.json: no matching files # 이에 대한 정보는 일반 애플리케이션 보안 문제 해결 섹션 을 참조하세요. 오류: unexpected status code 401 Unauthorized: Not Authorized # 이 오류는 AWS ECR에서 이미지를 스캔할 때 AWS 리전이 구성되지 않은 경우 발생할 수 있습니다. 스캐너가 인증 토큰을 검색할 수 없습니다. SECURE_LOG_LEVEL 을 debug 로 설정하면 다음과 같은 로그 메시지가 표시됩니다: [35mDEBUG[0m failed to get authorization token: MissingRegion: could not find region configuration 이를 해결하려면 CI/CD 변수에 AWS_DEFAULT_REGION 을 추가합니다: variables: AWS_DEFAULT_REGION: 오류: unable to open a file: open /home/gitlab/.cache/trivy/ee/db/metadata.json # 압축된 Trivy 데이터베이스는 컨테이너의 /tmp 폴더에 저장되며 런타임에 /home/gitlab/.cache/trivy/{ee|ce}/db 에 추출됩니다. 이 오류는 러너 구성에서 /tmp 디렉토리에 대한 볼륨 마운트가 있는 경우 발생할 수 있습니다. 이 문제를 해결하려면 /tmp 폴더를 바인딩하는 대신 /tmp 에 있는 특정 파일이나 폴더(예: /tmp/myfile.txt )를 바인딩합니다. 오류: context deadline exceeded # 이 오류는 타임아웃이 발생했음을 의미합니다. 해결하려면 충분한 긴 지속 시간의 TRIVY_TIMEOUT 환경 변수를 container_scanning job에 추가합니다. 오래된 이미지 기반 이미지에서 취약점이 탐지되지 않음 # Trivy는 더 이상 업데이트를