Harbor est un registre open source qui permet de stocker des artefacts numériques, soutenu par la Cloud Native Computing Foundation (CNCF). Harbor permet notamment de stocker et gérer des images Docker, et de les partager à des équipes spécifiques. Harbor propose une fonctionnalité de pilotage de scanners de vulnérabilités, afin de lancer des scans de CVE sur les images stockées. Cyberwatch version 12.6 est maintenant un scanner compatible avec Harbor.
Cyberwatch est maintenant compatible nativement avec l’API Scanner Adapter de Harbor
Cyberwatch 12.6 a ajouté la compatibilité de son API avec le format Scanner Adapter de Harbor.
Dans ce cadre, Cyberwatch peut maintenant être piloté nativement par une instance Harbor, à l’aide de la procédure officielle Connect Harbor to Additional Vulnerability Scanners.
Comment configurer Cyberwatch comme scanner Harbor ?
Temps nécessaire : 15 minutes
- Déclarez un nouvel outil externe de type « Scanneur Harbor »
Rendez-vous dans Administration > Outils externes > Scanneur Harbor. Puis cliquez sur « Créer ».
- Choisissez ensuite les sources et moteur de scan qui seront utilisés
Cette étape vous permet de définir quel noeud Cyberwatch, et quel moteur d’exécution Docker, seront sollicités pour les scans Harbor.
- Copiez les informations obtenues
Cyberwatch vous fournit alors des clés d’API, et une URL, qui vous serviront à créer un Service d’Analyse dans Harbor. Copiez ces informations, elles serviront pour les étapes suivantes.
- Créez le service d’interrogation dans Harbor
Rendez-vous sur votre instance Harbor, dans « Interrogation Services » (« Service d’Analyse » en français), onglet « Scanners », et cliquez sur « New Scanner ».
- Renseignez les informations de connexion de l’API Cyberwatch dans Harbor
Dans les champs « Name » et « Description », saisissez « Scanner Cyberwatch » ou un autre élément descriptif. Dans le champ « Endpoint » saisissez https://<URL_INSTANCE_CYBERWATCH>/harbor.
Dans le champ « Authorization », choisissez « Basic » et mettez en « Username » votre clé d’accès API Cyberwatch et en « Password » votre secret d’API. - Consultez les artefacts pour lancer un scan
Vous pourrez ensuite vous rendre dans les projets de votre instance Harbor, au niveau des artefacts, pour lancer un scan.
- Les résultats seront alors visibles directement dans Harbor
Les résultats des scans seront directement visibles dans l’interface Harbor, avec une évaluation de la sévérité des vulnérabilités à partir de leur score CVSS 3.1.
Gérer les vulnérabilités détectées par l’intégration entre le scanner Cyberwatch et le registre Harbor
Une fois les scans lancés, Cyberwatch fournit les résultats à Harbor mais les affiche aussi dans sa propre interface.
Les résultats peuvent aussi avoir un impact fonctionnel dans Harbor : vous pouvez ainsi empêcher certaines images Docker d’être instanciées en fonction des vulnérabilités détectées dessus. Ces réglages sont directement à définir dans l’onglet « Configuration » du projet Harbor.
De plus, vous pouvez aussi configurer Harbor pour réaliser automatiquement des scans réguliers de vos images, à la fréquence de votre choix.
Quel est le périmètre des scans réalisés sur les images Docker ?
Cyberwatch Vulnerability Manager analyse les vulnérabilités des paquets systèmes identifiés sur votre image Docker, ainsi que les vulnérabilités des bibliothèques tierces PIP / GEM / NPM / MAVEN / COMPOSER…
Les vulnérabilités des paquets systèmes sont directement analysées à partir des alertes de sécurité des constructeurs, ce qui réduit considérablement le taux de faux-positifs. De même, les vulnérabilités des bibliothèques tierces sont calculées à partir de la base GitHub Security Advisories afin d’obtenir des résultats fiables et complets.
Les résultats sont alors mis à disposition sous forme de listes de vulnérabilités hiérarchisées, ou de liste d’actions correctives pour identifier les opérations qui auront le meilleur impact en matière de sécurité.
Découvrez notre solution complète de gestion des vulnérabilités compatible avec les environnements conteneurisés
Cyberwatch Vulnerability Manager est une solution complète de détection, priorisation, et correction des vulnérabilités, compatible avec les environnements conteneurisés et intégrable nativement avec Harbor.
N’hésitez pas à nous solliciter via notre formulaire de contact pour obtenir une démonstration et industrialiser vos scans de vulnérabilités.