卡巴斯基容器安全
1.2
简体中文

目录

Harbor 集成

卡巴斯基容器安全与外部 Harbor 仓库的集成通过两种方式进行:

Harbor 将解决方案视为一个附加的外部扫描器,用于扫描对象中是否存在漏洞。与卡巴斯基容器安全的集成使用 Harbor 扫描器插件进行配置。该解决方案将这个自动创建的镜像仓库命名为Harbor External Integration,并使用 Harbor 图标(Harbor 仓库图标。)标记其所在的存储库。

此集成仍然是唯一自动创建的 Harbor 集成,并且分配给镜像仓库的名称无法更改。

要启动 Harbor 扫描进程,您需要知道卡巴斯基容器安全 API 的端点。

要通过 Harbor 请求创建集成,需要有在 CI/CD 中查看和配置扫描的权限。如果缺少这些权限,Harbor 将无法将解决方案连接为扫描仪并作为CI/CD 进程的一部分扫描对象。

页首
[Topic 272923]

根据 Harbor 请求创建集成

要通过 Harbor 请求创建仓库集成,您必须拥有具有管理员权限的 Harbor 帐户,以及在卡巴斯基 Container Security 中查看和配置 CI/CD 中的扫描的权限。如果没有这些权限,Harbor 将无法将该解决方案作为扫描仪连接。

要在请求 Harbor 时创建 Harbor 集成:

  1. 从 Harbor Web 界面左侧窗格的主菜单中,选择“管理”“询问服务”
  2. 单击新扫描仪按钮。
  3. 输入以下信息:
    • 在 Harbor 界面上显示的解决方案集成的唯一名称。
    • 如果有必要,正在被添加的外部扫描器的描述。
    • Harbor 显示的卡巴斯基容器安全 API 端点的地址。
  4. 授权下拉列表中,选择APIKey作为将仓库连接到解决方案时的授权方法。
  5. APIKey字段中,输入API 令牌的值

    如果 API 令牌发生变化,则必须在开始 Harbor 扫描之前指定其新值。如果未在 Harbor 中的外部扫描器设置中添加新的 API 令牌,则扫描失败。

  6. 选择跳过证书验证复选框以跳过证书验证。
  7. 如有必要,单击“测试连接”验证 Harbor 是否可以连接到解决方案。
  8. 单击“添加”创建集成。

管理询问服务扫描仪下的可用扫描仪列表中,Harbor 显示分配给 Harbor 中解决方案的名称。

如果新的扫描仪在 Harbor 中被指定为默认扫描仪或被分配给项目,则它将被用于扫描对象。这两个选项都需要在 Harbor 中进行额外配置。

扫描启动后,将在外部仓库中创建通过 Harbor 请求与解决方案的集成。卡巴斯基容器安全在管理集成镜像仓库部分的镜像仓库列表中,显示已创建的 Harbor External Integration 仓库。包含来自外部仓库的镜像的存储库标有Harbor图标 (Harbor 仓库图标。 )。在外部仓库中启动并运行另一次扫描后,Harbor External Integration 会进行更新。

您无法使用管理控制台中的添加镜像按钮将镜像添加到 Harbor 自动创建的镜像仓库中。

Harbor External Integration 扫描可以手动启动,也可以从外部仓库自动启动。您无法从卡巴斯基容器安全中的 Harbor 自动创建的镜像仓库中开始扫描或重新扫描镜像。

Harbor 外部集成仓库(以及作为与 Harbor 标准集成的一部分创建的仓库)根据适用的扫描器策略进行扫描。

在扫描结束时,解决方案会生成在扫描选定对象期间发现的漏洞的报告并将其发送给 Harbor。如果发送报告需要超过五秒(例如,由于网络连接质量),则在外部注册表界面中会显示接收扫描结果的错误。

页首
[Topic 273008]

查看和编辑 Harbor External Integration 设置

Harbor External Integration 镜像仓库显示在管理 → 集成镜像仓库部分中与卡巴斯基容器安全集成的注册表列表中

要更改 Harbor External Integration 设置:

  1. 管理 → 集成镜像仓库部分的镜像仓库列表中,选择 Harbor External Integration 仓库。
  2. 指定以下可配置设置的值:
    • 仓库详细信息选项卡上的描述
    • 镜像扫描详细信息选项卡上的扫描超时

    您不能更改其他 Harbor External Integration 注册表详细信息。

  3. 单击“保存”。
页首
[Topic 273028]

重新扫描

收到扫描结果后,无法将 Harbor External Integration 仓库中的对象发送给卡巴斯基容器安全进行重新扫描。重新扫描只能从 Harbor 发起。

如果您从卡巴斯基容器安全创建与 Harbor 的集成,并且创建的镜像仓库与 Harbor External Integration 类似,则以下规则将被应用于重新扫描:

  • 扫描解决方案中创建的仓库中的对象不会触发 Harbor External Integration 中重新扫描。
  • 扫描 Harbor External Integration 中的对象不会触发在解决方案中创建的仓库中重新扫描。
页首
[Topic 273010]