Amazon InspectorでEC2の脆弱性が指摘された際に、yumで対象のパッケージを更新することで対応することがあります。
その際にどのタイミングでInspectorに更新が反映されるのか疑問に思ったので実際にやってみました。
結論としては、パッケージの更新をトリガとしてインベントリが走り、約5分後にはInspectorの画面に反映されます。
以下、実際にパッケージを更新した際の経緯です。
kernelを更新する前のInspectorの画面は以下のようになっています。
現在使用しているkernelバージョンの脆弱性がリストされています。
yum updateで更新し、再起動して少しすると以下のような画面に変わりました。
kernelの脆弱性の指摘がなくなっています。
パッケージ情報の収集はSystems Managerのステートマネージャの「AWS-GatherSoftwareInventory」というドキュメントで実行されているようです。
ステートマネージャのコンソールで「関連付けを今すぐ適用」をクリックすれば、即時で実行することもできます。
参考
Inspectorの再スキャンについて、FAQに以下の記述があります。
Q: 自動再スキャンはどのくらいの頻度で実行されますか?
すべてのスキャンは、イベントに基づいて自動的に実行されます。すべてのワークロードは、最初に検出時にスキャンされ、その後再スキャンされます。
Amazon EC2 インスタンスの場合: 再スキャンは、インスタンスに新しいソフトウェアパッケージがインストールまたはアンインストールされたとき、新しい CVE がパブリッシュされたとき、および脆弱なパッケージが更新された後に開始されます (追加の脆弱性がないことを確認するため)。
