Harbor容器鏡像安全漏洞掃描詳述和視頻

題圖攝於黃花水長城

閱讀導航

一、Harbor v1.2 鏡像倉庫發布鏡像掃描功能

二、鏡像掃描功能原理

三、鏡像掃描演示視頻

四、Harbor徵文活動送T-Shirt等紀念品，含平板電腦、Kindle等大獎

五、Kubernetes用戶大會Harbor管理鏡像的分享（有福利）

（本文發布時，Harbor在Github上已獲得2828顆星：https://github.com/vmware/harbor）

開源企業級鏡像倉庫 Harbor v1.2 新增了鏡像漏洞掃描的功能，可以幫助用戶發現容器鏡像中的安全漏洞，及時採取防範措施。該功能推出後，很受用戶的歡迎。本文介紹這個功能的原理和使用方式，並附演示視頻。更詳細的使用說明，可參考 Harbor 的用戶文檔：

https://github.com/vmware/harbor/blob/master/docs/user_guide.md

容器鏡像本質上是一系列靜態文件的集合，也是容器應用運行的時候可見的文件系統。鏡像掃描就是遍歷所有鏡像中的文件系統，逐個檢查軟體包（Package）是否包含安全漏洞。這個過程有點像我們電腦裡面的掃病毒軟體做的事情，把電腦的所有文件進行分析，和已知病毒資料庫的病毒指紋特徵做對比，從而發現病毒的蹤跡。

集成了漏洞掃描之後的Harbor架構圖

在 Harbor 中，我們集成了開源項目 Clair 的掃描功能，可從公開的 CVE 字典庫下載漏洞資料。CVE 是 Common Vulnerabilities and Exposures 的縮寫，由一些機構自願參與維護的軟體安全漏洞標識，記錄已知的漏洞標準描述及相關信息，公眾可以免費獲取和使用這些信息。全球共有77個機構參與維護不同軟體的 CVE 庫，例如：VMware 維護著 VMware 產品的 CVE 庫，紅帽維護著Linux 上的 CVE 等等。容器鏡像基本上涉及的是 Linux 操作系統上的軟體，因此鏡像掃描需要參考 Linux 相關的 CVE 庫，目前 Harbor（Clair）使用的CVE 源有：

1

Debian Security Bug Tracker

2

Ubuntu CVE Tracker

3

RedHat Security Data

4

Oracle Linux Security Data

5

Alpine SecDB

在 Harbor 1.2 中，每個鏡像的菜單可以啟動對該鏡像的掃描任務。任務結束後，從界面上看到彩色的結果條提示鏡像的漏洞概況。紅、橙、黃和綠四種顏色分別代表漏洞不同的嚴重程度。

如果把滑鼠移到結果條上，會顯示多少個軟體包有已知的漏洞，以及它們的級別是怎樣的，非常直觀明了。

點擊鏡像的tag，還能列出漏洞的詳細名稱和各種信息。

為了方便操作以及減少對前台 Registry 的影響，Harbor 可以設置每天定時（如晚上11點）啟動全局掃描的任務。

用戶還可以設定漏洞閥值 (threshold)，如果鏡像的漏洞級別超過了這個閥值，鏡像將無法下載。例如，假設定義了「高」的閥值，如果發現某鏡像內含有危險程度為「高」的安全漏洞，將拒絕所有對該鏡像的拉取請求。註：閥值功能已在 vSphere Integrated Containers 1.2 中實現，開源版的 Harbor 將在 v1.3 中提供界面設置能力。

Harbor的鏡像掃描功能需要在安裝時增加--with-clair選項，詳細步驟可以參考github上的文檔：

https://github.com/vmware/harbor/blob/master/docs/installation_guide.md

下面視頻由 Harbor 核心開發工程師鄒佳錄製，演示了鏡像漏洞掃描的功能。

Harbor開源項目送 T-Shirt 等紀念品活動

Harbor 開源項目至今已一年有餘，相信大家都有了自己獨到的使用心得和經驗，我們為才華橫溢的您準備了一寸用武之地——Harbor 開源項目有獎徵文活動。提交符合規則文章的用戶，都可以獲得 Harbor 紀念品 T-Shirt 一件及 Harbor 手機指環一個。大獎包含平板電腦、Kindle和移動硬碟等。點擊參與方式：

在首屆Kubernetes用戶大會鏡像運維和案例分享：

10月15日，杭州：在 Kubernetes 上採用 Harbor 實現高效安全的鏡像運維

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 亨利筆記 的精彩文章: