Harbor容器鏡像安全漏洞掃描詳述和視頻
題圖攝於黃花水長城
閱讀導航
一、Harbor v1.2 鏡像倉庫發布鏡像掃描功能
二、鏡像掃描功能原理
三、鏡像掃描演示視頻
四、Harbor徵文活動送T-Shirt等紀念品,含平板電腦、Kindle等大獎
五、Kubernetes用戶大會Harbor管理鏡像的分享(有福利)
(本文發布時,Harbor在Github上已獲得2828顆星:https://github.com/vmware/harbor)
開源企業級鏡像倉庫 Harbor v1.2 新增了鏡像漏洞掃描的功能,可以幫助用戶發現容器鏡像中的安全漏洞,及時採取防範措施。該功能推出後,很受用戶的歡迎。本文介紹這個功能的原理和使用方式,並附演示視頻。更詳細的使用說明,可參考 Harbor 的用戶文檔:
https://github.com/vmware/harbor/blob/master/docs/user_guide.md
容器鏡像本質上是一系列靜態文件的集合,也是容器應用運行的時候可見的文件系統。鏡像掃描就是遍歷所有鏡像中的文件系統,逐個檢查軟體包(Package)是否包含安全漏洞。這個過程有點像我們電腦裡面的掃病毒軟體做的事情,把電腦的所有文件進行分析,和已知病毒資料庫的病毒指紋特徵做對比,從而發現病毒的蹤跡。
集成了漏洞掃描之後的Harbor架構圖
在 Harbor 中,我們集成了開源項目 Clair 的掃描功能,可從公開的 CVE 字典庫下載漏洞資料。CVE 是 Common Vulnerabilities and Exposures 的縮寫,由一些機構自願參與維護的軟體安全漏洞標識,記錄已知的漏洞標準描述及相關信息,公眾可以免費獲取和使用這些信息。全球共有77個機構參與維護不同軟體的 CVE 庫,例如:VMware 維護著 VMware 產品的 CVE 庫,紅帽維護著Linux 上的 CVE 等等。容器鏡像基本上涉及的是 Linux 操作系統上的軟體,因此鏡像掃描需要參考 Linux 相關的 CVE 庫,目前 Harbor(Clair)使用的CVE 源有:
1
Debian Security Bug Tracker
2
Ubuntu CVE Tracker
3
RedHat Security Data
4
Oracle Linux Security Data
5
Alpine SecDB
在 Harbor 1.2 中,每個鏡像的菜單可以啟動對該鏡像的掃描任務。任務結束後,從界面上看到彩色的結果條提示鏡像的漏洞概況。紅、橙、黃和綠四種顏色分別代表漏洞不同的嚴重程度。
如果把滑鼠移到結果條上,會顯示多少個軟體包有已知的漏洞,以及它們的級別是怎樣的,非常直觀明了。
點擊鏡像的tag,還能列出漏洞的詳細名稱和各種信息。
為了方便操作以及減少對前台 Registry 的影響,Harbor 可以設置每天定時(如晚上11點)啟動全局掃描的任務。
用戶還可以設定漏洞閥值 (threshold),如果鏡像的漏洞級別超過了這個閥值,鏡像將無法下載。例如,假設定義了「高」的閥值,如果發現某鏡像內含有危險程度為「高」的安全漏洞,將拒絕所有對該鏡像的拉取請求。註:閥值功能已在 vSphere Integrated Containers 1.2 中實現,開源版的 Harbor 將在 v1.3 中提供界面設置能力。
Harbor的鏡像掃描功能需要在安裝時增加--with-clair選項,詳細步驟可以參考github上的文檔:
https://github.com/vmware/harbor/blob/master/docs/installation_guide.md
下面視頻由 Harbor 核心開發工程師鄒佳錄製,演示了鏡像漏洞掃描的功能。
Harbor開源項目送 T-Shirt 等紀念品活動
Harbor 開源項目至今已一年有餘,相信大家都有了自己獨到的使用心得和經驗,我們為才華橫溢的您準備了一寸用武之地——Harbor 開源項目有獎徵文活動。提交符合規則文章的用戶,都可以獲得 Harbor 紀念品 T-Shirt 一件及 Harbor 手機指環一個。大獎包含平板電腦、Kindle和移動硬碟等。點擊參與方式:
在首屆Kubernetes用戶大會鏡像運維和案例分享:
10月15日,杭州:在 Kubernetes 上採用 Harbor 實現高效安全的鏡像運維
TAG:亨利筆記 |