云原生安全检测器 Narrows 发布,在 Harbor 上增加容器安全的动态扫描
国内外的用户都在使用云原生技术来提高应用的开发效率和可管理性,不少用户运用开源 Harbor 制品仓库,管理敏捷软件供应链中云原生应用的镜像,包括镜像存储、镜像扫描和镜像签名等功能。 Harbor 已经提供了一些高级的安全功能,例如,对镜像进行扫描,以发现潜在的安全问题。Harbor 的镜像扫描功能本质上属于静态扫描,即通过 Trivy,Clair,雅客云 (Arksec) 等漏洞扫描器(scanner),对镜像进行由事件触发或周期性的扫描。静态扫描可检测到镜像文件中潜在的威胁,但部分有风险的镜像仍有可能通过扫描器的检测,并被部署到 Kubernetes 集群中,从而引入了运行时的风险。 举个例子,Harbor 对某个镜像进行了扫描,检测结果是该镜像达到一定的安全级别,允许它上线运行。过了一段时间,有个新的 CVE 漏洞被发现,恰好该镜像包含了这个漏洞,在漏洞修复前 Harbor 不再容许该镜像上线。但是对已经处于运行态的镜像来说,Harbor 则无能为力。 鉴于 Harbor 重点在云原生应用的静态安全保护,面对日趋严重的 “供应链攻击” 的风险,用户需要提高另一方面的安全能力,即动...
