Harbor镜像仓库漏洞扫描功能

镜像漏洞扫描功能简介

开源企业级镜像仓库 Harbor v1.2 新增了镜像漏洞扫描的功能，可以帮助用户发现容器镜像中的安全漏洞，及时采取防范措施。

容器镜像本质上是一系列静态文件的集合，也是容器应用运行的时候可见的文件系统。镜像扫描就是遍历所有镜像中的文件系统，逐个检查软件包（Package）是否包含安全漏洞。这个过程有点像我们电脑里面的扫病毒软件做的事情，把电脑的所有文件进行分析，和已知病毒数据库的病毒指纹特征做对比，从而发现病毒的踪迹。

在 Harbor 中，我们集成了开源项目 Clair 的扫描功能，可从公开的 CVE 字典库下载漏洞资料。CVE 是 Common Vulnerabilities and Exposures 的缩写，由一些机构自愿参与维护的软件安全漏洞标识，记录已知的漏洞标准描述及相关信息，公众可以免费获取和使用这些信息。全球共有77个机构参与维护不同软件的 CVE 库，例如：VMware 维护着 VMware 产品的 CVE 库，红帽维护着Linux 上的 CVE 等等。容器镜像基本上涉及的是 Linux 操作系统上的软件，因此镜像扫描需要参考 Linux 相关的 CVE 库，目前 Harbor（Clair）使用的CVE 源有：

1. Debian Security Bug Tracker
2. Ubuntu CVE Tracker
3. RedHat Security Data
4. Oracle Linux Security Data
5. Alpine SecDB

启用镜像扫描功能方法

https://github.com/vmware/harbor/blob/master/docs/installation_guide.md
从harbor 1.2版本开始支持镜像扫描功能，启用镜像扫描，需要在install时添加--with-clair参数，方法如下：
sudo ./install.sh --with-clair

后期维护方法

$ sudo docker-compose -f ./docker-compose.yml -f ./docker-compose.clair.yml down -v
$ vim harbor.cfg
$ sudo prepare --with-clair
$ sudo docker-compose -f ./docker-compose.yml -f ./docker-compose.clair.yml up -d

Harbor的镜像扫描功能需要在安装时增加 --with-clair 选项，详细步骤可以参考github上的文档：
https://github.com/vmware/harbor/blob/master/docs/installation_guide.md

参考：
https://blog.csdn.net/q48S71bCzBeYLOu9T0n/article/details/78180109
https://github.com/vmware/harbor/blob/master/docs/installation_guide.md

来源：51CTO

作者：党志强

链接：https://blog.51cto.com/dangzhiqiang/2097103