镜像安全扫描建设指南-用户篇

Posted 2022-04-06 煜铭2011

0x01 背景介绍

使用开源软件作为开发过程的一部分有很多好处，其中包括但不限于：避免重复工作、提高研发效率、成熟稳定、成本较低、加快产品上市时间等。

若开源软件存有安全漏洞、恶意代码、病毒等安全问题，将造成业务系统被入侵导致数据泄露，从而影响公司业务开展。

故着眼于从根源上发现安全问题，注重开源软件的安全管理，降低安全风险。

0x02 查询镜像漏洞

在这里我们选择harbor作为容器镜像的管理平台，使用集成的Trivy进行漏洞检测。

a.选择项目

 选择正在使用的tag

 b.查看漏洞详情

下拉找【漏洞】菜单

 在【组件】按钮进行晒特定的组件漏洞。

可以根据常用组件漏洞进行搜索 或者根据漏洞【严重度】

 c.漏洞扫描失败

如果我们看到类似以下的情况：【漏洞】-> 【查看日志】，该情况表明本次对该镜像的漏洞扫描失败了。

 此时，我们可以选择手动扫描，具体如下：

 

等待扫描结束后，即可查看详细。

如果结束后，仍出现【查看日志】，表明镜像有问题，可联系安全人员排查处理

0x03 修复复查漏洞

按照漏洞报告里面的提示的修复版本进行后，建议：存在【危急】和【严重】第三方开源组件（尤其是Java包、依赖库、开发框架、数据库、中间件等）都尽量进行修复。

升级完成版本后，重新封装镜像后上传，如何检测漏洞是否修复了？在此种场景下，用户可以对某个项目进行实时安全漏洞扫描，以便检查某个项目实时的安全状态。

1.自行扫描

选择某个项目的具体镜像，点击【扫描】，如下图所示：

 扫描完成后，即可找到相关的漏洞详情。

 

 2. 平台定时扫描

如用户无权限或者其他原因影响，可由平台每周末会对所有镜像进行安全漏洞扫描，扫描完成会自动展示结果。