【云原生安全篇】Trivy助力离线Harbor漏洞扫描实践_查看harbor 版本 trivy版本

【云原生安全篇】Trivy助力离线Harbor漏洞扫描实践

目录

• 1 概念
  • 1.1 为什么需要离线漏洞扫描
  • 1.2 Trivy和Harbor 简介
  • 1.3 实现离线漏洞扫描的技术方案
• 2 实践：Trivy 为Harbor提供离线漏洞扫描
  • 2.1 环境准备
  • 2.2 安装Trivy作为数据库离线包下载代理
    • 2.2.1 通过包管理工具安装
    • 2.2.2 通过二进制方式安装
    • 2.2.3 使用官方脚本安装
    • 2.2.4 查看trivy版本
  • 2.3 下载最新的漏洞数据库：
  • 2.4 使用oras下载数据库离线包（可选）
    • 2.4.1 什么是oras
    • 2.4.2 安装oras
    • 2.4.3 下载离线数据库文件
  • 2.5 配置 Harbor 使用 Trivy 扫描器
  • 2.6 将数据库转移到离线环境
    • 2.6.1 打包历史离线数据库文件
    • 2.6.2 同步最新的离线数据库文件
  • 2.7 扫描镜像并查看结果
    • 2.7.1 查看trivy状态
    • 2.7.2 找一个镜像手动扫描漏洞
  • 2.8 trivy下载和同步脚本
    • 2.8.1 在trivy端和harbor端添加脚本
    • 2.8.2 设置定时任务
• 3 总结

❤️ 摘要: 在云原生环境中，容器镜像的安全性至关重要。作为一个强大的、轻量级的开源漏洞扫描工具，Trivy 能为Harbor容器镜像仓库提供了安全扫描和扫描结果可视化等功能。然而，在一些网络隔离的环境中，Harbor 的在线扫描功能可能无法使用。本文将介绍如何通过 Trivy 实现 离线 Harbor 漏洞扫描，并详细展示如何使用 Trivy 结合 Harbor，在离线环境中保护镜像安全。

💯 本文关联文章：

• 《【云原生安全篇】一文读懂Trivy》
• 《【云原生安全篇】一文掌握Harbor集成Trivy应用实践》

1 概念

1.1 为什么需要离线漏洞扫描

在一些安全性要求高的企业和政府单位环境中，网络出于安全原因会受到限制，可能无法连接到互联网。特别是在敏感业务的生产环境中，Harbor 镜像仓库被隔离在内部网络中，无法直接与在线漏洞扫描服务通信。

在这种情况下，使用 Trivy 的 离线扫描 功能，可以在不访问互联网的前提下，保持对镜像的高效漏洞扫描，确保容器的安全性。

1.2 Trivy和Harbor 简介

Trivy

Trivy 是由 Aqua Security 开发的开源安全扫描工具，能够扫描容器镜像、文件系统、基础设施即代码（IaC）等对象中的已知漏洞。Trivy 提供了快速、准确的扫描结果，帮助开发人员在开发早期识别潜在的安全风险。

Trivy 有以下几个主要特性：

• 快速扫描：支持高效的漏洞数据库更新。
• 丰富的漏洞检测：支持扫描操作系统漏洞、第三方库漏洞（如 Java、Node.js 等）以及错误配置。
• 离线模式：支持离线使用和数据库更新，这对于网络受限的环境非常有用。

Harbor

Harbor 是一个开源的企业级云原生镜像仓库，它不仅可以存储和分发 Docker 镜像，还提供了镜像复制、权限控制、镜像签名、漏洞扫描等功能。通过与安全工具的集成，Harbor 能够在上传和管理镜像时对其进行漏洞检测。

1.3 实现离线漏洞扫描的技术方案

为了实现离线的漏洞扫描，需要通过Trivy代理将 最新漏洞数据库提前下载并复制到离线环境中。然后，结合 Harbor 的内置扫描器功能，通过配置 Harbor 使用 Trivy 作为扫描引擎，执行镜像的漏洞扫描。

• Trivy 的离线数据库支持：可以预先在有网络的环境中下载漏洞数据库，并将其导入到离线环境中。
• Harbor 的 Trivy 扫描集成： Trivy 作为harbor默认支持的扫描工具，与 Harbor 集成实现自动漏洞扫描。

2 实践：Trivy 为Harbor提供离线漏洞扫描

接下来，我们将详细介绍如何在离线环境中配置 Trivy 并结合 Harbor 实现镜像的漏洞扫描。

2.1 环境准备

• Harbor：已经部署并运行在一个没有互联网访问的环境中。
• Trivy：将在离线环境中使用，作为 Harbor