URL: https://linuxfr.org/news/harbor-2-0 Title: Harbor 2.0 Authors: Xavier Claude theojouedubanjo, tisaac, Xavier Teyssier et Ysabeau Date: 2020-05-14T10:32:40+02:00 License: CC by-sa Tags: Score: 4 Harbor est un _registry_ d’images de conteneurs open source qui sécurise les images à l’aide de contrôles d’accès basé sur des rôles, d’analyses des images à la recherche de vulnérabilités et de signature d’images comme étant de confiance. Harbor a comme but d’aider à gérer de manière cohérente et sécurisée les images sur des plates-formes cloud comme Kubernetes et Docker. Dans sa version 2.0 qui vient de sortir, Harbor est maintenant totalement compatible OCI ([Open Container Initiative](https://www.opencontainers.org/)). Ainsi, il permet de stocker les images de vos containers ou tout objet compatible OCI comme les Helm Charts en version 3. L’avantage de cette compatibilité avec OCI est que cela évide de devoir avoir un système spécifique pour chaque type d’objet. Harbor vous permet donc de stocker vos images privées en local ou d’en faire un cache pour éviter des problèmes de réseau au téléchargement. Il permet aussi de scanner des images pour vérifier qu’il n’y a pas de faille de sécurité connue dedans et de vérifier les signatures pour ne distribuer que des images signées. ![Logo Harbor](https://dtb5pzswcit1e.cloudfront.net/assets/images/product_logos/icon_vmware_harbor@2x.png) ---- [Annonce de sortie](https://goharbor.io/blog/harbor-2.0/) ---- # Nouveautés ## OCI Harbor est maintenant compatible avec le format et les API OCI (Open Container Initiative), ce qui lui permet de stocker n’importe quelle donnée du moment qu’elle soit compatible avec cette API. Par exemple, cela veut dire que les Helm Chart et les images de containers sont stockés de la même manière. OCI apporte aussi un index qui permet de spécifier la même image pour différentes architectures. Cela signifie qu’il n’y a plus besoin de le spécifier explicitement, c’est le client qui choisira ce qu’il a besoin en fonction des paramètres définis. ## Scan d’image [Trivy](https://github.com/aquasecurity/trivy) remplace Clair comme outil de scan par défaut. Clair reste disponible. Un des gros avantages de Trivy est d’analyser toutes les couches des images au lieu de la dernière couche. Cela permet de trouver des vulnérabilités dans des bibliothèques compilées en statique. ## Comptes pour robot Les comptes pour robot, dédiés à être utilisés dans des scripts ou comme *credentials* pour tirer des images, peuvent maintenant expirer de manière individuelle et non plus uniquement de façon globale et, dans le futur, il sera possible d’avoir le même compte pour plusieurs projets. ## Chiffrement Il est maintenant possible de chiffrer en SSL (d’après l’annonce, j’espère que c’est du TLS en vrai) la communication entre les différents composants d’Harbor. ## Webhook Il est maintenant possible de déclencher les Webhook de manière individuelle et l’intégration avec Slack est fournie de base.