¶ Harbor

¶ 一、功能简介

通过与 HarBor 的集成，墨菲安全对 Harbor 容器镜像漏洞进行扫描，可以对上传的镜像进行漏洞扫描，并提供相关的安全报告。这有助于发现并解决容器镜像中的安全问题。

¶ 二、操作步骤

¶ 2.1 访问墨菲服务后台，新增 Harbor 接入

• 点击 集成方式 -> Harbor 立即进入-> 新增集成 -> 服务地址 -> 用户名 -> 密码 -> 版本区间 -> 设置地址 格式说明：
• 服务地址：Harbor的服务地址
• 用户名和密码：均为登录Harbor的用户名和密码
• 版本区间：v1.4.x - v1.10.x、v2.0.x - latest 两个版本，可以按照使用的Harbor进行选择
• 设置名称：设置名称只能由中英文、数字、括号、- 和 _ 组成

¶ 2.2 新建项目检测

有三种检测的方式：项目列表里勾选项目检测、全量检测、增量检测 方式一：项目列表里勾选项目检测

• 点击 项目列表 -> ^ 标 -> 选择检测一个或者多个代码名称 -> 下一步 方式二：全量检测
• 点击 全量检测 -> 连接以接入的Harbor ->下一步 方式三：增量检测 设置增量检测，进入Harbor管理平台
• 点击 项目 -> 选择项目 -> Webhooks -> 名称 -> 通知类型 -> 事件类型 -> Endpoint -> Auth Header -> 添加 说明：
• 输入 Webhook 名称，如 murphysec
• 事件类型 , 确保 Artifact pushed 处于选中状态
• Endpoint 地址：形式为 { 墨菲服务平台域名 }/v2/harbor/webhook
• Auth Header: 填写墨菲安全服务平台 Token,Token 可以在设置 -> 访问令牌 -> 复制

¶ 2.3 设置检测配置

• 点击 标准扫描 -> 是否编译 -> 漏洞真实影响评估 -> 选择所属项目组 -> 开始检测 检测模式有 5 种：标准扫描 、二进制扫描 、依赖配置扫描 、容器镜像扫描 、固件扫描 方式一：标准扫描 介绍：全方位从项目中的源代码、二进制等文件中，获取最全面的开源组件信息和存在的漏洞 方式二：二进制扫描 介绍：专门针对二进制文件进行检测，识别二进制文件中的开源组件和存在的漏洞 方式三：依赖配置扫描 介绍：通过分析项目源代码中的依赖配置文件，识别项目中使用的开源组件和存在的漏洞 方式四：容器镜像扫描 介绍：专门针对容器镜像进行检测，识别镜像中的开源组件和存在的漏洞 方式五：固件扫描 介绍：专门针对固件文件进行检测，识别固件中的开源组件和存在的漏洞 如需其他配置请进入高级配置 (opens new window)

¶ 2.4 项目管理

可以通过项目管理中的项目/项目组去查看检测完成的项目

• 项目：
• 项目组：

¶ 三、常见问题

¶ 问：应用策略是可以不选择的吗？

答：可以的，选择应用策略在设置中可以设置策略，这个是由用户自己定义的，策略总共有两类型：一个是打标签，另一个是设置为缺陷组件。选择某个定义好的策略，当该项目中的组件被命中后，就会执行这个策略的动作。也就是打标签或设置为缺陷组件。