首页 > 其他分享 >如何使用 Harbor 和 Trivy 快速扫描镜像漏洞

如何使用 Harbor 和 Trivy 快速扫描镜像漏洞

时间:2023-09-16 11:55:40浏览次数:54  
标签:Trivy Harbor 扫描 漏洞 Linux 镜像

如何使用 Harbor 和 Trivy 快速扫描镜像漏洞

奇妙的Linux世界 2023-09-16 11:24 发表于重庆  

以下文章来源于Harbor进阶实战 ,作者键客李大白

Harbor进阶实战.

本公众号主要分享云原生领域Harbor私有镜像仓库在实际业务场景中的一些知识。harbor企业级高可用设计、备份还原、升级、监控、镜像迁移、故障排查、性能优化、cicd集成…

公众号关注 「奇妙的 Linux 世界」
设为「星标」,每天带你玩转 Linux !
图片


      “安全”一直是一个不容忽视的问题,在云原生领域同样如此。

  云原生中的服务都是以容器的方式运行,而容器则是基于镜像启动,本篇文章则从“镜像”漏洞扫描来从“根本”去发现、解决云原生的“安全”问题。

奇妙的Linux世界 Linux 爱好者聚集地,各种硬核干货文章和新奇内容推荐,定期发放福利红包。快加入我们,一起愉快玩耍! 222篇原创内容 公众号

Trivy简介

  • Tivy官网:https://aquasecurity.github.io/trivy/v0.33/
  • 项目地址:https://github.com/aquasecurity/trivy/

  Trivy是一种适用于 CI 的简单而全面的容器漏洞扫描程序。软件漏洞是指软件或操作系统中存在的 故障、缺陷或弱点。Trivy 检测操作系统包(Alpine、RHEL、CentOS 等)和应用程序依赖 (Bundler、Composer、npm、yarn 等)的漏洞。

  Trivy 很容易使用,只要安装二进制文件,就可以扫描了。扫描只需指定容器的镜像名称。与其他镜像扫描工具相比,例如 Clair、Anchore Engine、Quay 相比,Trivy 在准确性、方便性和对 CI 的支持等方面都有着明显的优势。

  推荐在 CI 中使用它,在推送到 container registry 之前,你可以轻松地扫描本地容器镜像。


Trivy 的特点

  • 无需安装数据库、库等先决条件;
  • 使用简单,仅仅只需要指定镜像名称;
  • 易于安装测试:
  • 能检测全面的漏洞;
    (1)操作系统软件包:Alpine、Red Hat Universal Base  Image、Red Hat Enterprise Linux、CentOS、Oracle Linux、Debian、Ubuntu、Amazon  Linux、openSUSE Leap、SUSE Enterprise Linux、Photon OS 和 Distrioless;
    (2)应用程序依赖项:Bundler、Composer、Pipenv、Poetry、npm、yarn 和 Cargo;
  • 扫描快且无状态;
    第一次扫描将在 10 秒内完成(取决于网络)。随后的扫描将在一秒钟内完成。与其他扫描器在第一次运行时需要很长时间(大约 10 分钟)来获取漏洞信息,并鼓励你维护持久的漏洞 数据库不同,Trivy 是无状态的,不需要维护或准备;

Trivy安装

  基于CentOS系统的rpm包进行安装,其它系统安装包可从项目地址进行下载。

$ wget https://github.com/aquasecurity/trivy/releases/download/v0.31.3/trivy_0.31.3_Linux-64bit.rpm
$ rpm -ivh trivy_0.31.3_Linux-64bit.rpm

Trivy使用

扫描镜像

使用Trivy扫描镜像的漏洞。

$ trivy image {image_name}:{tag}
图片

扫描kubernetes集群

$ trivy k8s --report summary cluster

图片Vulnerabilities:漏洞;
Misconfigurations:表示配置错误;

Trivy & Harbor

  在前面对介绍了Trivy镜像漏洞扫描工具的安装和使用。那么,在启用大规模的镜像中,一个一个的进行漏洞扫描显然是不太现实的。

   我们都知道,企业的容器镜像一般都是存放在Harbor私有镜像仓库的,值得令人庆幸的是:Harbor以插件化的方式集成了Trivy镜像漏洞扫描工具,可以在Harbor的UI界面设置当镜像上传到Harbor的时候自动对该镜像进行扫描。同时,对于扫描出高危漏洞的镜像可以禁止被应用进行拉取。当然,如果您可以接受该高危漏洞的镜像,希望可以继续使用它们,

Harbor中安装Trivy插件

  在安装Harbor时,可以通过--with-trivy参数来安装Trivy插件。图片  如果已经安装好Harbor,但是没有安装Trivy,需要停止harbor再安装Trivy插件:

$ cd /app/harbor/  #进入到Harbor安装目录
$ docker-compose down   #停止Harbor服务
$ ./install.sh  --with-notary --with-trivy --with-chartmuseum

Harbor中Trivy的使用

在Harbor中安装好Trivy后,可以在Harbor UI看到:

图片

1)定时进行漏洞扫描

在“系统管理”-“审查服务”-“漏洞”出设置计划任务来定时自动进行漏洞扫描。图片

2)镜像上传自动扫描及阻止漏洞镜像被拉取

在“项目”—“项目名称”-“配置”管理来对指定项目进行单独配置镜像上传自动扫描并阻止漏洞镜像被拉取。

图片

本文转载自:「Harbor进阶实战」,原文:https://url.hi-linux.com/8Wt00,版权归原作者所有。欢迎投稿,投稿邮箱: [email protected]

图片

最近,我们建立了一个技术交流微信群。目前群里已加入了不少行业内的大神,有兴趣的同学可以加入和我们一起交流技术,在 「奇妙的 Linux 世界」 公众号直接回复 「加群」 邀请你入群。

图片

你可能还喜欢

点击下方图片即可阅读

图片

『百分百有效』的程序员正确提问方式,你知道吗?

图片
点击上方图片,『美团|饿了么』外卖红包天天免费领

图片

更多有趣的互联网新鲜事,关注「奇妙的互联网」视频号全了解!

  阅读 126 奇妙的Linux世界 ​   写留言        

标签:Trivy,Harbor,扫描,漏洞,Linux,镜像
From: https://www.cnblogs.com/cheyunhua/p/17706530.html

相关文章

  • Docker+harbor+rancher2.6.3部署springboot项目
    1、在pom的文件中添加以下配置<build><finalName>${project.artifactId}</finalName><plugins><plugin><groupId>com.spotify</groupId><artifactId>docker-maven-plugin</artifactId......
  • pip国内镜像源-Python安装第三方库
    众所周知,在没有配置第三方库的时候,使用pip或者conda安装包的时候,会直接指向Python官网,由于服务器在国外,下载速度会很慢,因此,大多数情况下会选择国内的镜像源网址来提升安装第三方库的速度。1.8个国内镜像源以下是中国常见的pip镜像源,按照完全度和下载速度排序,需要注意的是,镜像源......
  • 【UOS操作系统】dd刻录镜像
    1、查看当前系统的磁盘分区(未插U盘)$lsblk NAME    MAJ:MINRM SIZEROTYPEMOUNTPOINTsda     8:0  0926.1G 0disk └─sda1    8:1  0926.1G 0part/media/uos/_dde_datanvme0n1  259:0  0238.5G 0disk ├......
  • harbor-私有镜像仓库的离线安装部署
    harbor-私有镜像仓库的离线安装部署最低安装条件:资源最低限度推荐CPU2核4核内存4GB8GB最低软件要求:软件版本描述Dockerengine版本17.06.0-ce+或更高版本有关安装说明,请参阅Docker引擎文档DockerCompose版本1.18.0或更高版本有......
  • Docker 深度清除镜像缓存 (overlay2)
    Docker深度清除镜像缓存(overlay2)一般情况下,运维清理镜像是通过命令dockerrmi删除镜像的。但是这条命令不会删除dockerbuild命令产生的缓存文件。这个时候需要使用dockersystem的系列命令来做相关处理。dockersystem--help输出:#输出Usage:dockersystemCO......
  • TQT113平台虚拟机镜像使用手册
    ▲点击上方“广州天嵌”关注公众号后回复TQT113_CORE获取板卡wiki资料本文介绍如何使用我司提供的虚拟机镜像,搭建虚拟机环境,构建编译TQT113_COREB开发板的开发环境。注意事项:若用户没有搭建过调试和开发环境,或已有我司其他开发平台或其他厂商的测试开发环境的,请先严格按照本手册搭......
  • TQT113平台虚拟机镜像使用手册
    本文介绍如何使用我司提供的虚拟机镜像,搭建虚拟机环境,构建编译TQT113_COREB开发板的开发环境。注意事项:若用户没有搭建过调试和开发环境,或已有我司其他开发平台或其他厂商的测试开发环境的,请先严格按照本手册搭建成功后再进行测试调试开发等内容操作,避免因为环境不一致导致测试和......
  • harbor配置自动清理镜像
    harbor镜像仓库使用久了,空间占用快一个T了翻了一下资源库,项目从立项到现在的所有镜像全在里面,所以想着清理下,思考了下,只保留最近10个镜像我觉得比较合理其实有git在,harbor储存镜像的意义不大,我觉得极端点保留3个就可以,以备紧急回滚就行网上找了一圈,都是自己写的脚本清理harbor......
  • nginx常用配置和nginx镜像验证配置
    目的总结项目中常用的nginx配置,然后通过docker构建一个nginx镜像来快速使用和验证。目录结构 nginx配置nginx.conf文件:usernginx;worker_processesauto;error_log/var/log/nginx/error.lognotice;pid/var/run/nginx.pid;events{worker_connecti......
  • docker 尝试把.netcore项目打成镜像
    添加国内镜像https://blog.csdn.net/qq_44797987/article/details/112681224生成Dockerfile文件打开VisualStudio右键Web项目,添加docker支持执行命令验证......