【本文经授权转自探真科技,略有修改】
随着企业上云的步伐逐渐加快,Docker 作为当前云原生领域中最热门的开源容器引擎,其热度也是一路走高。虽然官方提供了公共的镜像仓库,但是从安全和效率等角度考虑,部署企业私有环境内的 Registry 也是非常必要的。Harbor 是由 VMware 公司中国研发中心发起的企业级的云原生制品仓库开源项目,现已从CNCF毕业。Harbor 可通过策略与基于角色的访问控制实现工件保护,扫描镜像内容使其免受漏洞侵害,最后对镜像进行可信签名。为企业用户提供了包括了 RBAC 权限管理、LDAP、审计、安全漏洞扫描、镜像验证、管理界面、自我注册、HA 等必需的功能,
针对中国用户的特点,设计了镜像复制和中文支持等功能。Harbor 相比Docker 官方的公共镜像仓库拥有更丰富的权限权利和完善的架构设计,更适合为企业级用户的大规模 Docker 集群部署提供仓库服务。作为首个源自中国的 CNCF 毕业项目,Harbor 成为保障合规性、性能与操作性的优秀工具,可帮助用户跨 Kubernetes 与 Docker 等云原生计算平台,持续安全地管理各类工件。目前,Harbor 已经被引入众多知名企业的生产体系当中,包括中国移动、京东、Mulesoft、三星SDS、Trend Micro 以及 VMware 等。
探真科技成为HARBOR合作伙伴
Harbor 作为企业级云原生应用领域不可或缺的组件,其内置的默认镜像漏洞扫描器是Trivy,一款开源的镜像扫描器。虽然经过几次版本迭代后相对提升了扫描的效率,但准确度和扫描颗粒度都还有较大的提升空间。而其他的 Anchore 扫描器、Clair 扫描器也都存在着部分兼容性和中文支持的问题。就在近日,Harbor 推送了 2.2.0 版本更新,可以选择将内置的扫描器替换为探真科技推出的镜像漏洞扫描器。
HARBOR 2.2.0版本原生支持探真镜像扫描器
针对 Harbor 原生扫描器在实际环境中遇到的部分问题,探真科技(TensorSecurity)在其探真容器安全产品中强化了扫描部分功能,以达到更高效率,更细扫描粒度,同时原生支持中文漏洞库,体验更流畅。这一扫描工具得到了Harbor开源社区 maintainers 的认可,Harbor 镜像仓库在2.2.0版本后可以选择将内置的扫描器替换为探真镜像漏洞扫描器,以达到更佳的扫描效果。
探真镜像漏洞扫描器工作截图
探真镜像漏洞扫描器作为联通镜像仓库与探真其他安全产品的桥梁,其扫描发现的风险与漏洞可以与探真容器安全 (TensorContainerSec)产品进行联动,进行可视化展示,风险等级评估、智能告警等进一步操作,极大的提升了企业在云原生环境下的安全运维的效率。同时这一扫描器也可以与探真后续的安全产品进行联动,让企业的云原生安全更添保障。未来,探真科技将和 Harbor 一起共建新的扫描结果接入框架,包括提供病毒扫描接口、敏感文件、Secrets 检测以及CNNVD 接入等等。
探真科技 2020 年由硅谷网络安全专家归国创建,基于 AISecOps 理念,专注于提供全栈内生的云原生安全解决方案。探真植根于云原生应用的整个生命周期之中,在云原生应用的开发,部署以及维护的三个阶段层层递进,提供了互相关联、环环相扣的安全整体解决方案,为企业的云原生业务系统保驾护航。在云场景威胁日益复杂的环境下,帮助企业充分释放云原生优势,实现云上资产、应用、数据生命周期安全,助力企业数字化转型。
Harbor 致力于构建开放、透明和活跃的社区,欢迎大家积极参与到社区中,共同努力并推动 Harbor 项目不断向前发展。大家可以通过多种途径联系社区和参与进来:
- CNCF workspace下的slack channel:#harbor与#harbor-dev
- 公开邮件组:lists.cncf.io/g/harbor-users 和lists.cncf.io/g/harbor-dev
- Twitter:@project_harbor
- 双周社区例会:双周周三晚21:00点 zoom https://zoom.us/j/734959521拨入。会议邀请会发送到slack channel和邮件组。
- Demo环境: demo.goharbor.io, 自助注册账户进入。
