0x01 背景介紹

使用開源軟件作為開發過程的一部分有很多好處，其中包括但不限于：避免重復工作、提高研發效率、成熟穩定、成本較低、加快產品上市時間等。

若開源軟件存有安全漏洞、惡意代碼、病毒等安全問題，將造成業務系統被入侵導致數據泄露，從而影響公司業務開展。

故著眼于從根源上發現安全問題，注重開源軟件的安全管理，降低安全風險。

0x02 查詢鏡像漏洞

在這里我們選擇harbor作為容器鏡像的管理平臺，使用集成的Trivy進行漏洞檢測。

a.選擇項目

?選擇正在使用的tag

?b.查看漏洞詳情

下拉找【漏洞】菜單

?在【組件】按鈕進行曬特定的組件漏洞。

可以根據常用組件漏洞進行搜索 或者根據漏洞【嚴重度】

?c.漏洞掃描失敗

如果我們看到類似以下的情況：【漏洞】-> 【查看日志】，該情況表明本次對該鏡像的漏洞掃描失敗了。

?此時，我們可以選擇手動掃描，具體如下：

?

等待掃描結束后，即可查看詳細。

如果結束后，仍出現【查看日志】，表明鏡像有問題，可聯系安全人員排查處理

0x03 修復復查漏洞

按照漏洞報告里面的提示的修復版本進行后，建議：存在【危急】和【嚴重】第三方開源組件（尤其是Java包、依賴庫、開發框架、數據庫、中間件等）都盡量進行修復。

升級完成版本后，重新封裝鏡像后上傳，如何檢測漏洞是否修復了？在此種場景下，用戶可以對某個項目進行實時安全漏洞掃描，以便檢查某個項目實時的安全狀態。

1.自行掃描

選擇某個項目的具體鏡像，點擊【掃描】，如下圖所示：

?掃描完成后，即可找到相關的漏洞詳情。

?

?2. 平臺定時掃描

如用戶無權限或者其他原因影響，可由平臺每周末會對所有鏡像進行安全漏洞掃描，掃描完成會自動展示結果。

總結

以上是生活随笔為你收集整理的镜像安全扫描建设指南-用户篇的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。