Skip to main content Link Menu Expand (external link) Document Search Copy Copied

Scanner les images Docker sur un registre Harbor

Harbor définit l’API REST Scanner Adapter HTTP API qui peut être implémentée par un scanneur de vulnérabilités. Le registre peut alors se connecter à un tel scanneur de vulnérabilités pour faire analyser ses images Docker. Cela permet notamment d’afficher directement dans l’interface Harbor les vulnérabilités détectées sur chaque image et de définir une politique de sécurité de déploiement des images.

Cyberwatch implémente cette API et peut donc être utilisé pour scanner les images d’un registre Harbor. Nous allons voir comment configurer et utiliser cette fonctionnalité.

Prérequis

Afin de pouvoir utiliser cette fonctionnalité, il est nécessaire d’avoir préalablement configuré dans Cyberwatch :

  • un moteur d’exécution Docker,
  • et le registre Harbor.

La procédure est expliquée ici.

Générer une clé d’API

Pour permettre à votre registre Harbor de se connecter à Cyberwatch, il est nécessaire à un utilisateur ayant un rôle Administrateur de générer une clé d’API avec un niveau d’accès Scan d'images Docker sur Harbor. Vous pouvez effectuer cette opération dans l’onglet Mon Profil > Voir mes clés d’API.

Ajouter Cyberwatch comme scanneur de vulnérabilités

Vous pouvez maintenant ajouter Cyberwatch comme scanneur de vulnérabilités pour votre registre Harbor :

  1. Se connecter à votre registre Harbor avec un compte ayant des droits d’administrateur.
  2. Dans Administration, cliquer sur Services d'Analyse.
  3. Cliquer sur le bouton Nouveau scanneur.
  4. Remplir les informations requises :
    • pour le champ endpoint, ajouter /harbor à l’url racine de votre instance de Cyberwatch,
    • pour l’authentification, choisir Basic et utiliser les identifiants générés à l’étape précédente.
  5. Tester vos informations en cliquant sur le bouton Tester la connexion.
  6. Si tout est OK, cliquer sur le bouton Ajouter.

Cyberwatch est maintenant ajouté comme scanneur d’images et est prêt à l’emploi.

Pour des explications complémentaires, vous pouvez vous référer à la documentation officielle (en anglais).

Scanner une image Docker

Pour scanner une image Docker depuis votre interface Harbor :

  1. Se rendre dans le projet du registre où se trouve l’image.
  2. Cliquer sur l’image.
  3. Cocher, dans la colonne de gauche, les versions de cette image que vous souhaitez scanner.
  4. Cliquer sur le bouton Analyser.
  5. Une fois l’analyse terminée, un rapport succinct apparaît dans la colonne Vulnérabilités.
  6. Pour une version plus détaillée, cliquer sur la version analysée et descendre en bas de la page pour trouver le tableau des vulnérabilités.

Pour plus de détails, se référer à la documentation de Harbor.

Lorsqu’un scan d’image est effectué, si l’image n’existe pas déjà localement dans Cyberwatch, celle-ci est créée et peut être retrouvée dans la liste des images Docker ainsi que l’analyse complète effectuée par Cyberwatch.

Pour aller plus loin

Harbor permet de :

  • mettre en place une politique de sécurité en empêchant par exemple le déploiement d’images ayant des vulnérabilités dépassant une certaine criticité,
  • scanner toutes les images disponibles sur le registre,
  • planifier les scans.

Ces différentes fonctionnalités sont détaillées dans la documentation de Harbor sur les scans de vulnérabilités.