在 Harbor 即服務中建立的每個 Harbor 執行個體,都會連線至 Trivy 安全漏洞掃描工具,協助您找出並解決容器映像檔中的安全風險。在 Harbor 2.2 以上版本中,Trivy 是預設掃描器。 Trivy 會分析容器映像檔的內容,並與國家安全漏洞資料庫等已知安全漏洞資料庫進行比較,找出潛在問題。詳情請參閱 https://github.com/aquasecurity/trivy。
事前準備
如要掃描安全漏洞,您必須具備下列條件:
- Trivy。安裝 Harbor 執行個體時,您必須附加安裝選項
--with-trivy,啟用 Trivy。如要瞭解如何使用 Trivy 安裝 Harbor,請參閱 https://goharbor.io/docs/2.8.0/install-config/run-installer-script/。 - 在 Harbor 的角色型存取控管中,具有「
ProjectAdmin」角色的帳戶。詳情請參閱設定 API 和 Harbor 執行個體內的存取權。 - 現有的 Harbor 專案。詳情請參閱「建立 Harbor 專案」。
您可以在 Harbor 中掃描個別構件,或在 Harbor 專案中設定弱點。
掃描 Harbor 中的個別構件
如要在 Harbor 中掃描個別構件,請按照下列步驟操作:
- 使用具有
ProjectAdmin角色的帳戶登入 Harbor 介面。 - 前往「專案」並選取專案。
- 按一下「掃描器」分頁標籤。「掃描器」分頁會顯示目前專案使用的掃描器。
- 按一下「編輯」,從已連線至這個 Harbor 執行個體的掃描器清單中選取其他掃描器,然後按一下「確定」。
- 按一下「存放區」分頁標籤,然後選取存放區。
- 存放區中的每個構件,「安全漏洞」欄都會顯示安全漏洞掃描狀態和相關資訊。
選取構件,或使用頂端的核取方塊選取存放區中的所有構件,然後按一下「掃描」,對這個構件執行安全漏洞掃描。
將指標懸停在可修正的安全漏洞數量上,即可查看安全漏洞報告摘要。
按一下構件摘要,即可查看詳細的安全漏洞報告。
詳情請參閱 Harbor 說明文件: https://goharbor.io/docs/2.8.0/administration/vulnerability-scanning/scan-individual-artifact/。
掃描 Harbor 中的所有構件
請按照下列步驟掃描 Harbor 執行個體中的所有構件:
- 使用具有
ProjectAdmin角色的帳戶登入 Harbor 介面。 - 在「Administration」選單中,按一下「Interrogation Services」。
如要掃描 Harbor 執行個體中的所有構件,請選取「Vulnerability」分頁,然後按一下「Scan now」。
詳情請參閱 Harbor 說明文件: https://goharbor.io/docs/2.8.0/administration/vulnerability-scanning/scan-all-artifacts/。
在 Harbor 專案中設定安全漏洞
將安全漏洞掃描功能整合至 Harbor 工作流程,主動管理容器化應用程式的安全性,並保護貴機構免於潛在威脅。設定專案,禁止執行含有安全漏洞的映像檔,並在映像檔推送至專案時自動掃描。
請按照下列步驟設定 Harbor 專案的弱點設定:
- 使用具有
ProjectAdmin角色的帳戶登入 Harbor 介面。 - 前往「專案」並選取專案。
- 按一下 [設定] 標籤。
- 如要防止系統提取專案中含有安全漏洞的映像檔,請勾選「防止執行含有安全漏洞的映像檔」核取方塊。
選取安全漏洞的嚴重性等級,防止映像檔執行。
如要針對推送至專案的新映像檔立即啟動安全漏洞掃描,請勾選「Automatically scan images on push」(在推送時自動掃描映像檔) 核取方塊。
詳情請參閱 Harbor 說明文件: https://goharbor.io/docs/2.8.0/working-with-projects/project-configuration/。