Configurez Cyberwatch comme scanner Harbor

Comment scanner les images Docker d'un registre Harbor avec Cyberwatch ?
Maxime ALAY-EDDINE
mai 16, 2023

Harbor est un registre open source qui permet de stocker des artefacts numériques, soutenu par la Cloud Native Computing Foundation (CNCF). Harbor permet notamment de stocker et gérer des images Docker, et de les partager à des équipes spécifiques. Harbor propose une fonctionnalité de pilotage de scanners de vulnérabilités, afin de lancer des scans de CVE sur les images stockées. Cyberwatch version 12.6 est maintenant un scanner compatible avec Harbor.

Cyberwatch est maintenant compatible nativement avec l’API Scanner Adapter de Harbor

Cyberwatch 12.6 a ajouté la compatibilité de son API avec le format Scanner Adapter de Harbor.

Dans ce cadre, Cyberwatch peut maintenant être piloté nativement par une instance Harbor, à l’aide de la procédure officielle Connect Harbor to Additional Vulnerability Scanners.

Comment configurer Cyberwatch comme scanner Harbor ?

Temps nécessaire : 15 minutes

  1. Déclarez un nouvel outil externe de type « Scanneur Harbor »

    Rendez-vous dans Administration > Outils externes > Scanneur Harbor. Puis cliquez sur « Créer ».
    Créer un nouveau scanneur Harbor

  2. Choisissez ensuite les sources et moteur de scan qui seront utilisés

    Cette étape vous permet de définir quel noeud Cyberwatch, et quel moteur d’exécution Docker, seront sollicités pour les scans Harbor.
    Choix de la source et du moteur d'exécution Docker

  3. Copiez les informations obtenues

    Cyberwatch vous fournit alors des clés d’API, et une URL, qui vous serviront à créer un Service d’Analyse dans Harbor. Copiez ces informations, elles serviront pour les étapes suivantes.
    Obtenez votre configuration Cyberwatch pour Docker Harbor

  4. Créez le service d’interrogation dans Harbor

    Rendez-vous sur votre instance Harbor, dans « Interrogation Services » (« Service d’Analyse » en français), onglet « Scanners », et cliquez sur « New Scanner ».

    Configurer un scanner de vulnérabilités sur Harbor

  5. Renseignez les informations de connexion de l’API Cyberwatch dans Harbor

    Dans les champs « Name » et « Description », saisissez « Scanner Cyberwatch » ou un autre élément descriptif. Dans le champ « Endpoint » saisissez https://<URL_INSTANCE_CYBERWATCH>/harbor.
    Dans le champ « Authorization », choisissez « Basic » et mettez en « Username » votre clé d’accès API Cyberwatch et en « Password » votre secret d’API.

    Configurer les clés d'API Cyberwatch dans Harbor

  6. Consultez les artefacts pour lancer un scan

    Vous pourrez ensuite vous rendre dans les projets de votre instance Harbor, au niveau des artefacts, pour lancer un scan.

    Lancer un scan Cyberwatch depuis Harbor

    Scan Cyberwatch en cours et planifié depuis Harbor

  7. Les résultats seront alors visibles directement dans Harbor

    Les résultats des scans seront directement visibles dans l’interface Harbor, avec une évaluation de la sévérité des vulnérabilités à partir de leur score CVSS 3.1.
    Comment scanner les images Docker d'un registre Harbor avec Cyberwatch ?

Gérer les vulnérabilités détectées par l’intégration entre le scanner Cyberwatch et le registre Harbor

Une fois les scans lancés, Cyberwatch fournit les résultats à Harbor mais les affiche aussi dans sa propre interface.

Résultats du scan d'images Docker analysées avec Cyberwatch

Les résultats peuvent aussi avoir un impact fonctionnel dans Harbor : vous pouvez ainsi empêcher certaines images Docker d’être instanciées en fonction des vulnérabilités détectées dessus. Ces réglages sont directement à définir dans l’onglet « Configuration » du projet Harbor.

Bloquer sur Harbor les images qui ont des vulnérabilités détectées par un scanner Cyberwatch
Bloquer sur Harbor les images qui ont des vulnérabilités détectées par un scanner Cyberwatch

De plus, vous pouvez aussi configurer Harbor pour réaliser automatiquement des scans réguliers de vos images, à la fréquence de votre choix.

Planifier un scan Cyberwatch automatiquement depuis Harbor
Planifier un scan Cyberwatch automatiquement depuis Harbor

Quel est le périmètre des scans réalisés sur les images Docker ?

Cyberwatch Vulnerability Manager analyse les vulnérabilités des paquets systèmes identifiés sur votre image Docker, ainsi que les vulnérabilités des bibliothèques tierces PIP / GEM / NPM / MAVEN / COMPOSER…

Les vulnérabilités des paquets systèmes sont directement analysées à partir des alertes de sécurité des constructeurs, ce qui réduit considérablement le taux de faux-positifs. De même, les vulnérabilités des bibliothèques tierces sont calculées à partir de la base GitHub Security Advisories afin d’obtenir des résultats fiables et complets.

Les résultats sont alors mis à disposition sous forme de listes de vulnérabilités hiérarchisées, ou de liste d’actions correctives pour identifier les opérations qui auront le meilleur impact en matière de sécurité.

CVE détectées par le scanner Cyberwatch à partir de Harbor
CVE détectées par le scanner Cyberwatch à partir de Harbor
Recommandations du scanner Cyberwatch obtenues à partir des analyses faites sur une image Docker hébergée sur Harbor
Recommandations du scanner Cyberwatch obtenues à partir des analyses faites sur une image Docker hébergée sur Harbor

Découvrez notre solution complète de gestion des vulnérabilités compatible avec les environnements conteneurisés

Cyberwatch Vulnerability Manager est une solution complète de détection, priorisation, et correction des vulnérabilités, compatible avec les environnements conteneurisés et intégrable nativement avec Harbor.

N’hésitez pas à nous solliciter via notre formulaire de contact pour obtenir une démonstration et industrialiser vos scans de vulnérabilités.

Vous avez des questions ?

Vous souhaitez une démonstration ?

Contactez-nous et nos experts reviendront vers vous sous 24h.

Votre demande