【云原生安全篇】Trivy助力离线Harbor漏洞扫描实践

最新推荐文章于 2025-02-26 10:08:29 发布
最新推荐文章于 2025-02-26 10:08:29 发布
阅读量1.1w 收藏 58
点赞数 78
分类专栏: 一文读懂Kubernetes 云原生安全实战指南 一文读懂Harbor 文章标签: 云原生 安全 网络 kubernetes 容器 云计算 go
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u013522701/article/details/142470707
版权

【云原生安全篇】Trivy助力离线Harbor漏洞扫描实践

目录

❤️ 摘要: 在云原生环境中,容器镜像的安全性至关重要。作为一个强大的、轻量级的开源漏洞扫描工具,Trivy 能为Harbor容器镜像仓库提供了安全扫描和扫描结果可视化等功能。然而,在一些网络隔离的环境中,Harbor 的在线扫描功能可能无法使用。本文将介绍如何通过 Trivy 实现 离线 Harbor 漏洞扫描,并详细展示如何使用 Trivy 结合 Harbor,在离线环境中保护镜像安全。

💯 本文关联文章:

1 概念

1.1 为什么需要离线漏洞扫描

在一些安全性要求高的企业和政府单位环境中,网络出于安全原因会受到限制,可能无法连接到互联网。特别是在敏感业务的生产环境中,Harbor 镜像仓库被隔离在内部网络中,无法直接与在线漏洞扫描服务通信。

在这种情况下,使用 Trivy 的 离线扫描 功能,可以在不访问互联网的前提下,保持对镜像的高效漏洞扫描,确保容器的安全性。

1.2 Trivy和Harbor 简介

Trivy

Trivy 是由 Aqua Security 开发的开源安全扫描工具,能够扫描容器镜像、文件系统、基础设施即代码(IaC)等对象中的已知漏洞。Trivy 提供了快速、准确的扫描结果,帮助开发人员在开发早期识别潜在的安全风险。

Trivy 有以下几个主要特性:

  • 快速扫描:支持高效的漏洞数据库更新。
  • 丰富的漏洞检测:支持扫描操作系统漏洞、第三方库漏洞(如 Java、Node.js 等)以及错误配置。
  • 离线模式:支持离线使用和数据库更新,这对于网络受限的环境非常有用。

Harbor

Harbor 是一个开源的企业级云原生镜像仓库,它不仅可以存储和分发 Docker 镜像,还提供了镜像复制、权限控制、镜像签名、漏洞扫描等功能。通过与安全工具的集成,Harbor 能够在上传和管理镜像时对其进行漏洞检测。

1.3 实现离线漏洞扫描的技术方案

为了实现离线的漏洞扫描,需要通过Trivy代理将 最新漏洞数据库提前下载并复制到离线环境中。然后,结合 Harbor 的内置扫描器功能,通过配置 Harbor 使用 Trivy 作为扫描引擎,执行镜像的漏洞扫描。

  • Trivy 的离线数据库支持:可以预先在有网络的环境中下载漏洞数据库,并将其导入到离线环境中。
  • Harbor 的 Trivy 扫描集成: Trivy 作为harbor默认支持的扫描工具,与 Harbor 集成实现自动漏洞扫描。

2 实践:Trivy 为Harbor提供离线漏洞扫描

接下来,我们将详细介绍如何在离线环境中配置 Trivy 并结合 Harbor 实现镜像的漏洞扫描。

2.1 环境准备

  • Harbor:已经部署并运行在一个没有互联网访问的环境中。
  • Trivy:将在离线环境中使用,作为 Harbor 的漏洞扫描器。

2.2 安装Trivy作为数据库离线包下载代理

首先,你需要安装Trivy,可以根据你的操作系统使用以下方式安装。

2.2.1 通过包管理工具安装

通过包管理工具安装,执行以下命令安

最低0.47元/天 解锁文章
【Docker】Harbor部署、漏洞扫描、内容信任
sl963216757的博客
06-28 1683
一、Harbor简介 虽然Docker官方提供了公共的镜像仓库,但是从安全和效率等方面考虑,部署我们私有环境内的Registry也是非常必要的。 Harbor是由VMware公司开源的企业级的Docker Registry管理项目,相比docker官方拥有更丰富的权限权利和完善的架构设计,适用大规模docker集群部署提供仓库服务。 它主要提供 Dcoker Registry 管理界面UI,可基于角色访问控制,镜像复制, AD/LDAP 集成,日志审核等功能,完全的支持中文。 二、Harbor 的主要
云原生安全】一文掌握Harbor集成Trivy应用实践
StevenZeng学堂
09-14 3318
❤️ 文档参考: 想详细了解Harbor,可以提前读《一文读懂Harbor以及部署实践攻略想详细了解Trivy,可以提前读《【云原生安全】一文读懂Trivy通过将HarborTrivy集成,可以在容器镜像推送到镜像仓库的过程中自动执行漏洞扫描,确保开发和运维团队在开发生命周期能尽早发现并修复潜在的安全问题。通过本文的配置和工作流程,您可以轻松设置 HarborTrivy 的集成,确保容器镜像在上线前通过严格的安全检查。
harbor-scanner:一个免费的镜像漏洞扫描工具, 可以扫描镜像中已安装软件包的漏洞,支持中文漏洞库,可与 Harbor 无缝集成
05-16
Harbor-Scanner 一个免费的镜像漏洞扫描工具, 可以扫描镜像中已安装软件包的漏洞,支持中文漏洞库,可与 无缝集成。 Dosec 的商业客户可以使用企业版扫描功能,例如扫描开源框架中的漏洞以及扫描容器镜像中包含的敏感数据。同时企业版增加了WEB UI, 提供仪表板,资产管理,用户管理,镜像漏洞修复建议, 安全和策略评估报告,容器运行时防护,Docker 和 Kubernetes 合规检查以及其他功能和模块。 特点 漏洞扫描快速准确,支持CVE和CNNVD双漏洞编号,漏洞中文描述信息 自动更新漏洞库(在配置中开启自动更新参数) 快速部署使用,最新的发布版中已包含最近日期之前的全量漏洞库,安装完成即可立即扫描出结果 安装 推荐将 Harbor-Scanner 和 Harbor 镜像仓库部署在同一台服务器。 下载 Harbor-Scanner 的离线安装包并解压 wget https
Gatling与VMware Harbor全局搜索漏洞(CVE-2022-46463)深度解析
最新发布
2301_77129266的博客
02-26 581
是VMware Harbor容器镜像仓库中存在的一个未授权访问漏洞,允许攻击者绕过身份验证,直接访问本应受保护的公共或私有镜像仓库,导致敏感镜像数据泄露。该漏洞影响Harbor 1.x至2.5.3版本,被归类为中危漏洞,且已存在公开的漏洞利用验证(PoC)45。CVE-2022-46463暴露了Harbor在全局搜索功能中的设计缺陷,攻击者可借此实现镜像仓库的未授权访问。企业需及时升级版本并加强访问控制,以防范供应链攻击风险。在追求功能便利性的同时,安全校验机制不容忽视。
Harbor2.2.1配置(trivy扫描器、镜像签名)
weixin_38299404的博客
05-08 4927
Haobor2.2.1配置(trivy扫描器、镜像签名) docker-compose下载 https://github.com/docker/compose/releases 安装 cp docker-compose /usr/local/bin chmod +x /usr/local/bin/docker-compose harbor下载 https://github.com/goharbor/harbor/releases 解压 tar xf xxx.tgx 配置harbor 根下建立:mkd
【转】Docker容器镜像安全最佳实践指南
tpriwwq的专栏
04-16 2530
在企业中信息系统安全与业务是同样重要, 随着传统运维方式向着容器化运维方式的转变,当下企业里通常都会采用Docker来进行容器化部署和承载业务。Docker容器安全也是重中之重, 它关乎着应用与数据安全,其中也关乎着宿主机的安全
harbor系列之7:镜像漏洞扫描
lldhsds的专栏
07-28 1332
Harbor 默认通过开源项目(Harbor 2.0.0 及之后版本)或(Habor v2.2.0 版本之后从默认中删除)提供镜像漏洞的静态分析。在harbor中可以对特定镜像或 Harbor 中的所有镜像手动启动扫描。也可以设置策略,使系统定期自动扫描所有镜像。说明:本文中harbor使用的截图以 Harbor v2.11.0 为例,具体操作以实际环境版本为准。
Harbor+Trivy实现镜像漏洞扫描
逗小豆zz的博客
10-05 1255
漏洞列表中可以看到包含风险的组件和版本信息,以及该漏洞的修复版本。使用oras命令获取离线扫描数据库,该过程可能耗时很长。设置扫描镜像时跳过更新漏洞库,以离线方式进行扫描。扫描完成后将以表格形式输出镜像包含的漏洞信息。扫描结束后可以查看漏洞数量和漏洞分布。是harbor存放数据的根目录,在。压缩文件,将这两个文件分别复制到。参数同时安装trivy组件。该命令仅下载离线库文件缓存在。安装Harbor时,指定。选择要扫描的镜像,在。
Harbor 漏洞镜像扫描部署
R0ot
10-14 1411
docker tag SOURCE_IMAGE[:TAG] 192.168.91.128/tomcat/REPOSITORY[:TAG] #镜像标记。docker push 192.168.91.128/tomcat/REPOSITORY[:TAG] #推送项目。先vim /etc/docker/daemon.json文件黏贴下面文件进去、wq保存。添加漏扫、认证地址为安装scanner的地址、之后点击测试连接、添加即可。打包镜像推送到harbor上,先登陆harbor上面创建项目。harbor下载安装。
docker harbor镜像漏洞扫描
qq_36270681的博客
09-28 744
通常情况下这个插件需要手动开启 ./prepare --with-clair 需要重启服务: [root@client_15_k8s_clould harbor]# docker-compose -f docker-compose.yml up -d Creating network "harbor_harbor-clair" with the default driver WARNING: Found orphan containers (chartmuseum) for this pr...
【docker】harbor-trivy镜像扫描工具安装部署(离线漏洞库)
西原一点红的博客
08-22 2983
漏洞库下载trivy v1版本和V2版本漏洞库下载地址不一样。
harbour-scanner-trivy:将Trivy用作Harbor注册表中的插件漏洞扫描程序
02-12
用于的Harbor 是一项将扫描API转换为Trivy命令的服务,并允许Harbor使用Trivy来提供有关存储在Harbor注册表中的图像的漏洞报告,作为其漏洞扫描功能的一部分。 目录 入门 这些说明将为您提供适配器服务的副本,并在...
云原生安全】Notation助力Harbor镜像验证实践
StevenZeng学堂
10-14 9024
❤️摘要: 随着容器化技术的普及,容器镜像的安全性愈发成为企业关注的焦点。Harbor 作为一款开源的企业级镜像仓库管理工具,通过提供多种安全功能来帮助企业管理容器镜像的生命周期。而 Notation 则是一个用于容器镜像签名的工具,能够为镜像提供加密签名,以确保镜像的来源可验证、内容未被篡改。本文将详细介绍如何在 Harbor 中使用 Notation 对镜像进行签名和验证,帮助读者提升镜像安全的管理能力。
云原生安全】一文读懂Trivy
StevenZeng学堂
09-14 1833
摘要:在云原生容器化应用飞速发展的时代,安全问题变得愈加突出。如何确保我们的容器镜像、Kubernetes 集群、基础设施即代码 (IaC) 等组件的安全,是每个开发者和运维工程师关注的焦点。而 Trivy 作为一款开源的全能安全扫描工具,帮助我们快速发现和定位安全漏洞。本文将详细介绍 Trivy 的功能、工作原理以及如何使用 Trivy 保障镜像安全实践案例。
Oxeye在Harbour中发现了几个高危 IDOR 漏洞
kafankeji的博客
09-13 278
VMware Project Harbor的产品线经理Roger Klorese说:“我们和我们的社区开发的开源软件以及我们和我们的合作伙伴分发的商业发行版的质量对我们和使用它的组织来说至关重要。Oxeye 在关于新漏洞的咨询中解释道:“管理对运营和资源的访问可能是一个具有挑战性的目标。Oxeye咨询说:“您的应用程序公开的每个新API端点都应使用可用的最严格的角色。例如,如果应用程序公开了一个重置用户密码的端点,则模拟如果用户从不同用户的上下文调用此API端点会发生什么。
Harbor未授权访问漏洞
菜鸟的自学之路
12-27 560
Harbor未授权访问漏洞
harbor安装_Harbor任意管理员注册漏洞(CVE-2019-16097)
weixin_39790877的博客
11-30 316
0x00 Harbor简介 Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源Docker Distribution。 作为一个企业级私有Registry服务器,Harbor提供了更好的性能和安全。提升用户使用Registry构建和运行环境传输镜像的效率。0x01 原理概述 ...
Harbor 镜像仓库存在未授权访问漏洞
whoami
01-16 7766
Harbor 受影响版本中镜像仓库存在访问控制缺陷,攻击者可通过页面搜索镜像名称,绕过登陆验证逻辑,直接查看结果中未授权的私有镜像仓库并获取仓库信息(Pull、Push的时间和commit信息,以及镜像存在的漏洞信息等)。本漏洞广泛存在于业界使用的harbor版本中。不过harbor常放置于企业内网,可以缓解该问题。Harbor 是一个开源的 Docker Registry 管理项目,用于托管容器镜像。升级harbor到 2.6.0 或更高版本。
trivy【2】工具漏洞扫描
爱死亡机器人
07-28 1805
检测操作系统包(Alpine、RHEL、CentOS等)和特定语言包(Bundler、Composer、npm、yarn等)的漏洞。此外,扫描Terraform和Kubernetes等基础架构即代码(IaC)文件,以检测使您的部署面临攻击风险的潜在配置问题。通过将Trivy嵌入Dockerfile来扫描您的图像作为构建过程的一部分。在上面的示例中,Trivy检测到了Python依赖项的漏洞和Dockerfile中的错误配置。指定目录可以包含混合类型的IaC文件。.........
评论 49
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

StevenZeng学堂

🎉 每笔打赏都是我分享的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值