本文介绍了开源软件在开发中的优势及可能带来的安全风险,重点讲述了如何使用harbor和Trivy进行容器镜像漏洞扫描。通过选择项目和tag,查看漏洞详情,以及处理扫描失败的情况,确保镜像安全。同时,提供了修复漏洞的方法,包括根据修复版本更新组件并重新封装镜像,以及通过自行扫描或平台定时扫描来验证漏洞是否已修复。
0x01 背景介绍
使用开源软件作为开发过程的一部分有很多好处,其中包括但不限于:避免重复工作、提高研发效率、成熟稳定、成本较低、加快产品上市时间等。
若开源软件存有安全漏洞、恶意代码、病毒等安全问题,将造成业务系统被入侵导致数据泄露,从而影响公司业务开展。
故着眼于从根源上发现安全问题,注重开源软件的安全管理,降低安全风险。
0x02 查询镜像漏洞
在这里我们选择harbor作为容器镜像的管理平台,使用集成的Trivy进行漏洞检测。
a.选择项目
选择正在使用的tag
b.查看漏洞详情
下拉找【漏洞】菜单
在【组件】按钮进行晒特定的组件漏洞。
可以根据常用组件漏洞进行搜索 或者根据漏洞【严重度】
c.漏洞扫描失败
如果我们看到类似以下的情况:【漏洞】-> 【查看日志】,该情况表明本次对该镜像的漏洞扫描失败了。
此时,我们可以选择手动扫描,具体如下:
等待扫描结束后,即可查看详细。
如果结束后,仍出现【查看日志】,表明镜像有问题,可联系安全人员排查处理
0x03 修复复查漏洞
按照漏洞报告里面的提示的修复版本进行后,建议:存在【危急】和【严重】第三方开源组件(尤其是Java包、依赖库、开发框架、数据库、中间件等)都尽量进行修复。
升级完成版本后,重新封装镜像后上传,如何检测漏洞是否修复了?在此种场景下,用户可以对某个项目进行实时安全漏洞扫描,以便检查某个项目实时的安全状态。
1.自行扫描
选择某个项目的具体镜像,点击【扫描】,如下图所示:
扫描完成后,即可找到相关的漏洞详情。
2. 平台定时扫描
如用户无权限或者其他原因影响,可由平台每周末会对所有镜像进行安全漏洞扫描,扫描完成会自动展示结果。
扫一扫
1195
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
