本文将先容如何利用HummerRisk 在云原平生安领域进行「镜像检测」,通过「镜像检测」功能,可以对镜像进行深入扫描,获取镜像的内部构造,检测镜像的依赖存在哪些漏洞。文章内容包括「镜像检测」的利用流程、配置信息详细解释、根本功能利用等。目前HummerRisk支持绑定镜像仓库后根据同步后的镜像列表进行扫描,或手动指定镜像以及上传tar包进行安全扫描。
本文将利用由Harbor供应的私有Docker镜像仓库为例,演示如何进行镜像扫描。
完成 “镜像检测”我们须要通过以下几个步骤来完成:
镜像仓库管理
HummerRisk目前支持的镜像仓库包括Harbor、DockerHub、Nexus,如果是其他类型的仓库可选择Other,详细步骤如下:
登录到HummerRisk系统当中,点击云原平生安;点击 「镜像检测」,点击“创建镜像仓库”;填写 镜像仓库的配置信息;填写完成后点击“确认”创建完成后可以点击“同步镜像”查看账号的有效性并同步镜像列表参数
解释
镜像仓库名称
镜像仓库在HummerRisk系统中的显示名称
镜像仓库类型
镜像仓库类型,根据实际情形选择,目前适配验证过的仓库包括Harbor、DockerHub、Nexus
镜像仓库地址
镜像仓库访问地址,常日为 https://<仓库IP或域名>:<端口>
镜像仓库用户名
镜像仓库用户名,尤其是私有仓库,必须填写。用于身份校验,否则镜像无法拉取
镜像仓库密码
镜像仓库密码,尤其是私有仓库,必须填写。用于身份校验,否则镜像无法拉取
镜像管理通过「镜像管理」功能,我们可以更好的管理运用发布镜像,同时在一些没有私有镜像仓库,或一些公共镜像仓库中,用户可以手动创建镜像,以便于完成后续的镜像扫描事情。
HummerRisk将镜像与SBOM中的项目和版本进行关联,方便对运用的安全版本进行管理和掩护,利用镜像管理前,请现在「SBOM管理」中创建项目和版本。
创建镜像的详细步骤和参数解释如下:
登录到HummerRisk系统当中,点击云原平生安;点击 「镜像检测」功能,在菜单栏选择“镜像管理”;点击“创建镜像”,输入精确的镜像信息以及参数,参数的解释见下方表格参数
解释
Sbom项目
「SBOM管理」中创建的项目名称
项目版本
「SBOM管理」功能中项目的版本
镜像名称
镜像仓库访问地址,常日为 https://<仓库IP或域名>:<端口>
是否绑定镜像仓库
镜像仓库用户名,尤其是私有仓库,必须填写。用于身份校验,否则镜像无法拉取
是否启用代理
镜像仓库密码,尤其是私有仓库,必须填写。用于身份校验,否则镜像无法拉取
是否上传镜像图片
该镜像在HummerRisk系统中的显示图片,便于区分
备注
对镜像利用的一些描述
镜像类型
目前支持三种办法:1.从镜像仓库获取,选择此项可以直接关联镜像仓库 2.手写镜像地址,例如在Dockerhub公开库中的镜像会自动拉取 3. 手动上传镜像离线包,常日是 docker save 出来的 .tar 的镜像压缩包
镜像地址:标签
填写完全的镜像地址,包括URL和TAG
镜像列表
如果该镜像是在私有仓库中,可以和镜像列表中镜像进行绑定
镜像地址
手动上传tar包时,须要通过此项上传离线文件
填写精确的信息后,点击“确认”点击“检测”,对该镜像实行检测结果镜像检测完成后,会输出检测结果,检测结果并通过可视化的页面查看风险情形,已经漏洞名称和解决办法。
实行镜像检测后,可以在镜像检测结果页面查看所有检测结果。列表中会显示出所有实行过的检测任务。检测状态显示当前任务的实行情形,正在实行的任务会显示为 [正在处理],已经实行完的任务显示为 [已完成] 或 [非常]详细步骤如下:
登录到HummerRisk系统当中,点击「云原平生安」;点击 「镜像检测」,点击“镜像检测结果”;此时可以查看到镜像列表,如果检测完的镜像状态该当是“已完成”,点击“统计”中的内容既可以查看详细的检测结果,统计的结果分为5个等级,分别是:等级
C(Critical)
H(High)
M(Medium)
L(low)
U(Unkown)
解释
高危
高风险
中等风险
低风险
无风险
查看详细检测结果若须要查看检测结果详情,可以点击检测统计进行详细展示页面
以“漏洞检测”为例,点击“漏洞检测统计”结果后,可查看到如下漏洞详情页面,根据漏洞详情页面中的信息,我们可以查看到存在漏洞的软件名称、CVEID、风险等级、修复版本号等镜像检测历史记录通过「镜像检测历史记录」功能,可以查看每个镜像的历史检测结果,同时可以比拟多次检测结果。
历史镜像检测清单:
查看历史检测结果:
镜像概览
通过「镜像概览」页面,我们可以快速剖析出当前管理的所有镜像的安全状态,以便于管理员快速创造安全问题。包括根据仓库的统计、根据漏洞风险等级的统计。
