Greboca  

DLFP - Dépêches  -  Harbor 2.0

 -  Mai 2020 - 

Harbor est un registry d’images de conteneurs open source qui sécurise les images à l’aide de contrôles d’accès basés sur des rôles, d’analyses des images à la recherche de vulnérabilités et de signature d’images comme étant de confiance. Harbor a comme but d’aider à gérer de manière cohérente et sécurisée les images sur des plates‑formes cloud comme Kubernetes et Docker.

Dans sa version 2.0 qui vient de sortir, Harbor est maintenant totalement compatible OCI (Open Container Initiative). Ainsi, il permet de stocker les images de vos conteneurs ou tout objet compatible OCI comme les Helm Charts en version 3. L’avantage de cette compatibilité avec OCI est que cela évite de devoir avoir un système spécifique pour chaque type d’objet.

Harbor vous permet donc de stocker vos images privées en local ou d’en faire un cache pour éviter des problèmes de réseau au téléchargement. Il permet aussi de d’analyser des images pour vérifier qu’elles ne contiennent pas de failles de sécurité connues et de vérifier les signatures pour ne distribuer que des images signées.

Logo Harbor

Nouveautés

OCI

Harbor est maintenant compatible avec le format et les API OCI (Open Container Initiative), ce qui lui permet de stocker n’importe quelle donnée du moment qu’elle est compatible avec cette API. Par exemple, cela veut dire que les Helm Charts et les images de conteneurs sont stockés de la même manière.

OCI apporte aussi un index qui permet de spécifier la même image pour différentes architectures. Cela signifie qu’il n’y a plus besoin de le spécifier explicitement, c’est le client qui choisira ce dont il a besoin en fonction des paramètres définis.

Analyse d’image

Trivy remplace Clair comme outil d’analyse par défaut. Clair reste disponible. Un des gros avantages de Trivy est d’analyser toutes les couches des images au lieu de seulement la dernière couche. Cela permet de trouver des vulnérabilités dans des bibliothèques compilées en statique.

Comptes pour robot

Les comptes pour robot, dédiés à être utilisés dans des scripts ou comme credentials pour tirer des images, peuvent désormais expirer de manière individuelle et non plus uniquement de façon globale et, dans le futur, il sera possible d’avoir le même compte pour plusieurs projets.

Chiffrement

Il est maintenant possible de chiffrer en SSL (d’après l’annonce, j’espère que c’est du TLS en vrai) la communication entre les différents composants d’Harbor.

Webhook

Il est à présent possible de déclencher les Webhooks de manière individuelle et l’intégration avec Slack est fournie de base.

Commentaires : voir le flux atom ouvrir dans le navigateur

par Xavier Claude, tisaac, theojouedubanjo, Xavier Teyssier, Davy Defaud, Ysabeau

DLFP - Dépêches

LinuxFr.org

Tribune April : Techsoup et Solidatech, instruments d'influence

 -  27 mars - 

Après une première position sur Solidatech en 2020, l'April a passé à nouveau du temps pour étudier et comprendre la place des structures Solidatech (...)


TuxRun et le noyau Linux

 -  27 mars - 

Il y a quelques années, je vous avais présenté TuxMake, un utilitaire pour faciliter la (cross-)compilation du noyau Linux supportant une grande (...)


Retour d’expérience sur l’utilisation de GrapheneOS (ROM Android libre)

 -  18 mars - 

Suite à la dépêche Comparatif : GrapheneOS vs LineageOS, je souhaitais faire part d’un retour d’expérience sur l’utilisation de GrapheneOS sur un (...)


Ubix Linux, le datalab de poche

 -  16 mars - 

Ubix Linux est une distribution Linux libre et open-source dérivée de Debian.Le nom « Ubix » est la forme contractée de « Ubics », acronyme issu de (...)


Open Food Facts : récit d’un contributeur

 -  15 mars - 

Récit de mon aventure en tant que contributeur pour le projet Open Food Facts, la base de donnée alimentaire ouverte et collaborative, où je suis (...)