Harbor 默认通过开源项目 Trivy (Harbor 2.0.0 及之后版本)或 Clair (Habor v2.2.0 版本之后从默认中删除)提供镜像漏洞的静态分析 。

您可以对特定镜像或 Harbor 中的所有镜像手动启动扫描。您也可以设置策略,使系统定期自动扫描所有图像。

说明

本操作中截图以 Harbor v2.2.1 为例,仅供参考,请以您部署的 Harbor 实际版本为准。

启用默认扫描器

您可以在 部署 Harbor 镜像仓库 时启用 Trivy 或 Clair;若部署时未开启,也可以在 Harbor 集群页面修改配置参数进行启用。

以 Harbor 2.2.1 版本为例,将加载 trivy plugin 修改为 true,如下所示:

enable_trivy

扫描特定镜像

  1. 使用至少具有项目管理员权限的帐户登录 Harbor 界面。

  2. 进入项目页面并选择一个项目。

  3. 可选:点击扫描器页签,可查看到该项目的默认扫描器的详细信息。您可以点击选择扫描器,来选择您已创建的其他扫描器。

    select_sanner

  4. 点击镜像仓库页签,选择一个仓库源,进入该仓库的 Artifacts 页面。

  5. 勾选一个或多个需要扫描的 Artifacts ,单击扫描

    scan_some

扫描所有镜像

  1. 使用具有 Harbor 系统管理员权限的帐户登录 Harbor 界面。

  2. 选择系统管理 > 审查服务,点击漏洞页签。

    scan_all

  3. 点击开始扫描便可立即扫描所有镜像。

设置自动扫描

  1. 使用具有 Harbor 系统管理员权限的帐户登录 Harbor 界面。

  2. 选择系统管理 > 审查服务,点击漏洞页签。

  3. 点击编辑,设置扫描周期。

    preiod_scan

  4. 单击保存