Trivy + Harbor实现镜像漏洞的简单、高效扫描

简介: Trivy + Harbor实现镜像漏洞的简单、高效扫描

Trivy 是一种适用于 CI 的简单而全面的容器漏洞扫描程序。软件漏洞是指软件或操作系统中存在的 故障、缺陷或弱点。Trivy 检测操作系统包(Alpine、RHEL、CentOS 等)和应用程序依赖 (Bundler、Composer、npm、yarn 等)的漏洞。

  Trivy 很容易使用,只要安装二进制文件,就可以扫描了。扫描只需指定容器的镜像名称。与其他镜像扫描工具相比,例如 Clair、Anchore Engine、Quay 相比,Trivy 在准确性、方便性和对 CI 的支持等方面都有着明显的优势。

  推荐在 CI 中使用它,在推送到 container registry 之前,你可以轻松地扫描本地容器镜像。

  • 无需安装数据库、库等先决条件;
  • 使用简单,仅仅只需要指定镜像名称;
  • 易于安装测试:
  • 能检测全面的漏洞;
    (1)操作系统软件包:Alpine、Red Hat Universal Base  Image、Red Hat Enterprise Linux、CentOS、Oracle Linux、Debian、Ubuntu、Amazon  Linux、openSUSE Leap、SUSE Enterprise Linux、Photon OS 和 Distrioless;
    (2)应用程序依赖项: Bundler、Composer、Pipenv、Poetry、npm、yarn 和 Cargo;
  • 扫描快且无状态;
    第一次扫描将在 10 秒内完成(取决于网络)。随后的扫描将在一秒钟内完成。 与其他扫描器在第一次运行时需要很长时间(大约 10 分钟)来获取漏洞信息,并鼓励你维护持久的漏洞 数据库不同,Trivy 是无状态的,不需要维护或准备;

Trivy安装

基于CentOS系统的rpm包进行安装,其它系统安装包可从项目地址进行下载。

$ wget https://github.com/aquasecurity/trivy/releases/download/v0.31.3/trivy_0.31.3_Linux-64bit.rpm
$ rpm -ivh trivy_0.31.3_Linux-64bit.rpm

Trivy使用

使用Trivy扫描镜像的漏洞。

$ trivy image {image_name}:{tag}

扫描kubernetes集群

$ trivy k8s --report summary cluster

Vulnerabilities:漏洞;

Misconfigurations:表示配置错误;

Harbor中安装Trivy插件

在安装Harbor时,可以通过--with-trivy参数来安装Trivy插件。

如果已经安装好Harbor,但是没有安装Trivy,需要停止harbor再安装Trivy插件:

$ cd /app/harbor/  #进入到Harbor安装目录
$ docker-compose down   #停止Harbor服务
$ ./install.sh  --with-notary --with-trivy --with-chartmuseum

在Harbor中安装好Trivy后,可以在Harbor UI看到:

1)定时进行漏洞扫描

在“系统管理”-“审查服务”-“漏洞”出设置计划任务来定时自动进行漏洞扫描。

2)镜像上传自动扫描及阻止漏洞镜像被拉取

在“项目”—“项目名称”-“配置”管理来对指定项目进行单独配置镜像上传自动扫描并阻止漏洞镜像被拉取。

相关文章
|
存储 Docker 容器
企业实战(6)修改Harbor镜像仓库默认存储路径
企业实战(6)修改Harbor镜像仓库默认存储路径
338 0
|
7月前
|
运维 安全 Docker
【Docker 专栏】Docker 镜像安全扫描与漏洞修复
【5月更文挑战第9天】Docker技术在软件开发和部署中带来便利,但其镜像安全问题不容忽视。本文探讨了Docker镜像安全扫描与漏洞修复,强调了镜像安全对应用和系统的重要性。文中介绍了静态和动态扫描方法,列举了软件漏洞、配置漏洞和恶意软件等常见安全问题,并提到了Clair和Trivy等扫描工具。修复策略包括更新软件、调整配置和重建镜像。此外,加强安全意识、规范镜像制作流程和定期扫描是管理建议。未来,将持续面对新的安全挑战,需持续研究和完善安全技术。
541 3
【Docker 专栏】Docker 镜像安全扫描与漏洞修复
|
安全 Cloud Native Unix
Copa:无需重建镜像,直接修补容器漏洞
Copa:无需重建镜像,直接修补容器漏洞
226 0
|
安全 Docker 容器
漏洞扫描—Awvs&Nessus(Docker版V3.0​)更新
漏洞扫描—Awvs&Nessus(Docker版V3.0​)更新
漏洞扫描—Awvs&Nessus(Docker版V3.0​)更新
|
存储 Kubernetes 供应链
容器验证漏洞允许恶意镜像云化 Kubernetes
容器验证漏洞允许恶意镜像云化 Kubernetes
|
存储 Dragonfly 安全
Nydus 镜像扫描加速
Nydus 是 CNCF 孵化项目 Dragonfly 的子项目,它提供了容器镜像,代码包按需加载的能力。Nydus 应用时无需等待全部数据下载完成便可开始服务。
Nydus 镜像扫描加速
|
存储 缓存 安全
Harbor镜像漏洞扫描
Clair是CoreOS 2016年发布的一款开源容器漏洞扫描工具。该工具可以交叉检查Docker镜像的操作系统以及上面安装的任何包是否与任何已知不安全的包版本相匹配。漏洞是从特定操作系统的通用漏洞披露(CVE)数据库获取。
1218 0
Harbor镜像漏洞扫描
|
关系型数据库 数据库 PostgreSQL
使用Docker搭建Sonarqube代码扫描环境
映射数据卷的目的,是为了实现数据持久化,这样的话 ,如果在启动容器的时候,少写了什么参数之类,或者后面想添加什么其他的参数,不会影响里面现有的业务数据之类的。
使用Docker搭建Sonarqube代码扫描环境