本文介绍了小佑科技的Harbor-Scanner,这是一款免费的镜像漏洞扫描工具,可与Harbor镜像仓库无缝集成,提供更准确的扫描,支持CVE和CNNVD漏洞编号,包括中文描述。扫描器可在离线环境下使用,并支持实时更新漏洞库。文章详细阐述了安装、配置和卸载步骤,以及与开源扫描器的对比和未来更新计划。
镜像安全的解决方案
镜像是容器的最基础的载体,docker作为最流行的容器runtime,其最大的贡献就是把镜像作为容器应用的标准交付方式,镜像包含了容器运行的所有基础文件,可以说镜像的安全就决定了容器安全。
但现实不乐观,在docker官方镜像中有超过30%的镜像有高危漏洞,平均每一个镜像有127个中危漏洞,几乎没有镜像没有漏洞。镜像在构建过程中会安装依赖组件,这些组件存在大量漏洞,而这仅仅是基础运行环境的软件漏洞。
安全前移是目前最主流的安全治理思路,希望镜像在进入生产环境前尽量解决安全问题,对于镜像的安全控制可以在三个地方:
一、构建时,在使用持续集成平台自动构建后,拿jenkins来举例说明,当镜像构建完成后,对构建的镜像进行漏洞扫描,如果出现策略不允许出现的安全漏洞,中断流程,达到安全控制。
二、存储时,在镜像仓库中对上传的镜像进行漏洞扫描,发现安全问题,禁止拉取。
三、运行时,在镜像拉取到主机节点,启动时扫描镜像漏洞,禁止镜像运行。
所以,镜像安全问题最好在持续集成过程中和镜像仓库中解决。
开源免费的镜像漏洞扫描器使用得最多的就是Clair,Clair是最早由Quay推出的开源镜像漏洞扫描器,也是目前应用最广的扫描器;另外使用较多是Anchore,Anchore以最早支持应用框架漏洞扫描闻名。Clair扫描器的社区活跃度是最高的,经历了几个大的版本迭代,扫描效率有所提升,但是准确度还存在一些问题,而Anchore由python开发,扫描效率比Clair要低,社区活跃度一般。
小佑科技免费扫描器harbor-scanner介绍
小佑科技作为国内领先的云原生安全产品提供商,将其商业版的镜像扫描部分功能免费出来,提供给用户使用。本次我们推出的免费镜像扫描工具得到Harbor开源社区的大力支持,Harbor是Vmware中国团队推出的优秀开源项目,世界上最流行的镜像私有仓库,在Github上超过1万的starts,也是云原生基金会(CNCF)项目,Harbor镜像仓库在最新的1.10版本后加入了镜像漏洞扫描器的管理,用户可根据自身需求选择镜像漏洞扫描器,取代之前内置的Cliar扫描器。
https://github.com/goharbor/harbor/releases/tag/v1.10.0
小佑科技推出的免费镜像扫描工具
最低0.47元/天 解锁文章
扫一扫
7524
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
