从漏洞扫描到供应链安全：Harbor+Trivy的SBOM实战指南

在云原生时代，容器镜像已成为软件交付的标准单元。但你是否真正了解镜像内部的构成？当安全团队询问"这个镜像包含哪些开源组件"时，当合规部门要求"列出所有GPL许可证的依赖"时，传统漏洞扫描工具给出的CVE列表显然不够。这就是SBOM（软件物料清单）的价值所在——它像一份精确的"成分表"，揭示镜像中每个软件包的名称、版本、许可证和依赖关系。

1. 为什么SBOM正在成为安全新刚需

去年Log4j漏洞爆发时，全球企业面临的首要挑战不是修复漏洞，而是定位漏洞。没有SBOM，排查受影响系统就像大海捞针。SBOM通过结构化记录软件构成，让安全响应速度提升10倍以上。

典型应用场景包括：

• 漏洞应急响应：快速确定受影响的组件范围
• 许可证合规：识别高风险许可证（如GPL、AGPL）
• 资产管理：建立完整的软件资产台账
• 供应链审计：验证第三方组件的来源和完整性

提示：美国白宫2021年发布的《改善国家网络安全行政令》明确要求联邦政府采购的软件必须提供SBOM，这已成为全球趋势。

2. Harbor+Trivy的SBOM生成方案解析

Harbor作为企业级镜像仓库，从v2.4.0开始集成Trivy的SBOM生成功能。与传统方案相比，这种组合具备三大优势：

技术实现上，Trivy采用以下方式构建SBOM：

1. 解析镜像各层文件系统
2. 识别包管理器元数据（如apt、yum、apk）
3. 检测语言特定依赖（如npm、pip、gem）
4. 关联CVE数据库和许可证信息

bash复制# 查看Trivy支持的SBOM格式
$ trivy image --list-all-pkgs alpine:latest

3. 四步生成你的首份SBOM报告

3.1 环境准备

确保Harbor已启用Trivy扫描器。如果是离线环境，需要预先下载漏洞数据库：

bash复制# 在线环境自动更新
$ trivy image --download-db-only

# 离线环境手动导入
$ scp -r ~/.cache/trivy/db/ harbor-server:/data/harbor/trivy-adapter/trivy/
$ chown 10000:10000 -R /data/harbor/trivy-adapter/trivy

3.2 扫描配置

在Harbor界面配置扫描策略时，关键参数说明：

• 扫描类型：选择"Vulnerabilities and SBOM"
• 计划任务：建议设置为每日凌晨执行
• 自动触发：启用"Scan on push"

3.3 报告解读

生成的SBOM包含三个核心部分：

1. 组件清单：

   • 操作系统包（rpm/deb/apk）
   • 语言包（npm/pip/gem）
   • 直接依赖与传递依赖

2. 许可证信息：

   json复制{
     "Name": "openssl",
     "Version": "1.1.1k",
     "License": "OpenSSL",
     "Risk": "Medium"
   }
   

3. 依赖图谱：

   code复制nginx:1.21 → openssl:1.1.1k → zlib:1.2.11
               → pcre:8.44
   

3.4 典型问题排查

问题1：SBOM中缺少Python包信息

• 原因：未安装pip freeze生成的requirements.txt
• 解决：构建镜像时保留/usr/local/lib/python3.9/site-packages

问题2：许可证显示UNKNOWN

• 原因：元数据文件缺失
• 解决：手动补充/usr/share/doc/*/copyright

4. 将SBOM融入DevSecOps流水线

4.1 准入控制

在CI阶段添加SBOM检查门禁：

yaml复制# Jenkinsfile示例
stage('SBOM Check') {
    steps {
        sh 'trivy image --security-checks vuln,config,license --exit-code 1 your-image'
        script {
            if (sbomContains('GPL-3.0')) {
                error '发现高风险GPL许可证'
            }
        }
    }
}

4.2 资产看板

利用Harbor API构建可视化看板：

python复制import requests

resp = requests.get(
    "https://harbor.example.com/api/v2.0/projects/{project}/repositories/{repo}/artifacts/{tag}/sbom",
    headers={"X-Accept-Vulnerabilities": "application/vnd.security.vulnerability.report; version=1.1"}
)
sbom_data = resp.json()

# 提取关键指标
total_components = len(sbom_data['components'])
high_risk_licenses = [c for c in sbom_data['components'] if c['license'] in ['GPL-3.0', 'AGPL-3.0']]

4.3 溯源分析

当发现漏洞时，通过SBOM快速定位受影响镜像：

1. 在漏洞管理平台查询CVE编号
2. 检索哪些SBOM包含受影响组件
3. 定位到具体镜像版本

5. 高级应用场景

5.1 供应链攻击检测

通过SBOM基线对比发现异常组件：

sql复制-- 对比历史SBOM记录
SELECT * FROM sbom_records 
WHERE artifact = 'nginx:1.21' 
  AND package_name NOT IN (
    SELECT package_name FROM sbom_baseline 
    WHERE artifact = 'nginx:1.21'
  )

5.2 许可证合规自动化

建立许可证白名单机制：

yaml复制# policy.yaml
allowed_licenses:
  - MIT
  - Apache-2.0
  - BSD-3-Clause

blocked_licenses:
  - GPL-3.0
  - AGPL-3.0

5.3 与SPDX/GitHub集成

将Trivy生成的SBOM转换为标准格式：

bash复制# 生成SPDX格式
$ trivy image --format spdx --output alpine.spdx alpine:latest

# 上传到GitHub依赖图谱
$ gh api repos/{owner}/{repo}/dependency-graph/snapshots \
  -H "Accept: application/vnd.github+json" \
  --input alpine.spdx

在实际项目中，我们发现SBOM最大的价值不是生成报告，而是建立组件间的关联关系。当某个底层库爆出漏洞时，能立即知道哪些业务服务受影响，这种可见性才是现代安全体系的核心竞争力。