扫描漏洞

在 Harbor-as-a-Service 中创建的每个 Harbor 实例都会连接到 Trivy 漏洞扫描器，以帮助您识别和解决容器映像中的安全风险。Trivy 是 Harbor 2.2 及更高版本中的默认扫描器。 Trivy 会分析容器映像的内容，将其与已知漏洞数据库（例如美国国家漏洞数据库）进行比较，以识别潜在问题。如需了解详情，请参阅 https://github.com/aquasecurity/trivy。

准备工作

您必须具备以下条件才能扫描漏洞：

• Trivy。您必须在安装 Harbor 实例时通过附加安装选项 --with-trivy 启用 Trivy。如需了解如何安装包含 Trivy 的 Harbor，请参阅 https://goharbor.io/docs/2.8.0/install-config/run-installer-script/。
• 在 Harbor 的基于角色的访问控制中具有 ProjectAdmin 角色的账号。如需了解详情，请参阅为 API 和 Harbor 实例配置访问权限。
• 现有的 Harbor 项目。如需了解详情，请参阅创建 Harbor 项目。

您可以在 Harbor 中扫描单个制品，也可以在 Harbor 项目中配置漏洞设置。

扫描 Harbor 中的单个制品

如需扫描 Harbor 中的单个制品，请按以下步骤操作：

1. 使用具有 ProjectAdmin 角色的账号登录 Harbor 界面。
2. 前往项目，然后选择一个项目。
3. 点击扫描器标签页。扫描器标签页显示了当前正在用于此项目的扫描器。
4. 点击修改，从连接到此 Harbor 实例的扫描器列表中选择其他扫描器，然后点击确定。
5. 点击代码库标签页，然后选择一个代码库。
6. 对于仓库中的每个制品，漏洞列会显示漏洞扫描状态和相关信息。

7. 选择一个制品，或使用顶部的复选框选择代码库中的所有制品，然后点击扫描以对此制品运行漏洞扫描。

8. 将指针悬停在可修复漏洞的数量上，即可查看漏洞报告的摘要。

9. 点击制品摘要可查看详细的漏洞报告。

如需了解详情，请参阅 Harbor 文档：https://goharbor.io/docs/2.8.0/administration/vulnerability-scanning/scan-individual-artifact/。

扫描 Harbor 中的所有制品

请按照以下步骤扫描 Harbor 实例中的所有制品：

1. 使用具有 ProjectAdmin 角色的账号登录 Harbor 界面。
2. 在管理菜单中，点击盘问服务。

3. 如需扫描 Harbor 实例中的所有制品，请选择漏洞标签页，然后点击立即扫描。

如需了解详情，请参阅 Harbor 文档：https://goharbor.io/docs/2.8.0/administration/vulnerability-scanning/scan-all-artifacts/。

在 Harbor 项目中配置漏洞设置

将漏洞扫描集成到 Harbor 工作流中，主动管理容器化应用的安全，并保护组织免受潜在威胁。配置项目，使存在漏洞的映像无法运行，并使系统在映像被推送到项目后立即自动扫描映像。

请按照以下步骤为 Harbor 项目配置漏洞设置：

1. 使用具有 ProjectAdmin 角色的账号登录 Harbor 界面。
2. 前往项目，然后选择一个项目。
3. 点击配置标签页。
4. 为防止拉取项目下存在漏洞的映像，请选中防止运行存在漏洞的映像复选框。

5. 选择漏洞的严重程度，以防止映像运行。

6. 如需对推送到项目的新映像立即进行漏洞扫描，请选中在推送时自动扫描映像复选框。

如需了解详情，请参阅 Harbor 文档：https://goharbor.io/docs/2.8.0/working-with-projects/project-configuration/。