概览

HummerRisk 是开源的云原生安全平台，以非侵入的方式解决云原生环境的安全和治理问题。核心能力包括混合云的安全治理和容器云安全检测。

本文将介绍如何使用HummerRisk 在云原生安全领域进行「镜像检测」，通过「镜像检测」功能，可以对镜像进行深入扫描，获取镜像的内部结构，检测镜像的依赖存在哪些漏洞。文章内容包括「镜像检测」的使用流程、配置信息详细说明、基础功能使用等。目前HummerRisk支持绑定镜像仓库后根据同步后的镜像列表进行扫描，或手动指定镜像以及上传tar包进行安全扫描。

本文将使用由Harbor提供的私有Docker镜像仓库为例，演示如何进行镜像扫描。

工作流程

完成 “镜像检测”我们需要通过以下几个步骤来完成：

镜像仓库管理

HummerRisk目前支持的镜像仓库包括Harbor、DockerHub、Nexus，如果是其他类型的仓库可选择Other，具体步骤如下：

登录到HummerRisk系统当中，点击云原生安全；
点击「镜像检测」，点击“创建镜像仓库”；
填写镜像仓库的配置信息；

4. 填写完成后点击“确认”

5. 创建完成后可以点击“同步镜像”查看账号的有效性并同步镜像列表

参数	说明
镜像仓库名称	镜像仓库在HummerRisk系统中的显示名称
镜像仓库类型	镜像仓库类型，根据实际情况选择，目前适配验证过的仓库包括Harbor、DockerHub、Nexus
镜像仓库地址	镜像仓库访问地址，通常为 https://<仓库IP或域名>:<端口>
镜像仓库用户名	镜像仓库用户名，尤其是私有仓库，必须填写。用于身份校验，否则镜像无法拉取
镜像仓库密码	镜像仓库密码，尤其是私有仓库，必须填写。用于身份校验，否则镜像无法拉取

镜像管理

通过「镜像管理」功能，我们可以更好的管理应用发布镜像，同时在一些没有私有镜像仓库，或一些公共镜像仓库中，用户可以手动创建镜像，以便于完成后续的镜像扫描工作。

HummerRisk将镜像与SBOM中的项目和版本进行关联，方便对应用的安全版本进行管理和维护，使用镜像管理前，请现在「SBOM管理」中创建项目和版本。

创建镜像的详细步骤和参数说明如下：

登录到HummerRisk系统当中，点击云原生安全；
点击「镜像检测」功能，在菜单栏选择“镜像管理”；
点击“创建镜像”，输入正确的镜像信息以及参数，参数的说明见下方表格

参数	说明
Sbom项目	「SBOM管理」中创建的项目名称
项目版本	「SBOM管理」功能中项目的版本
镜像名称	镜像仓库访问地址，通常为 https://<仓库IP或域名>:<端口>
是否绑定镜像仓库	镜像仓库用户名，尤其是私有仓库，必须填写。用于身份校验，否则镜像无法拉取
是否启用代理	镜像仓库密码，尤其是私有仓库，必须填写。用于身份校验，否则镜像无法拉取
是否上传镜像图片	该镜像在HummerRisk系统中的显示图片，便于区分
备注	对镜像使用的一些描述
镜像类型	目前支持三种方式：1.从镜像仓库获取，选择此项可以直接关联镜像仓库 2.手写镜像地址，例如在Dockerhub公开库中的镜像会自动拉取 3. 手动上传镜像离线包，通常是 docker save 出来的 .tar 的镜像压缩包
镜像地址：标签	填写完整的镜像地址，包括URL和TAG
镜像列表	如果该镜像是在私有仓库中，可以和镜像列表中镜像进行绑定
镜像地址	手动上传tar包时，需要通过此项上传离线文件