Harbor 通过开源项目 Trivy 提供镜像中的漏洞静态分析。要使用 Trivy，您必须在安装 Harbor 实例时启用 Trivy（通过附加安装选项 --with-trivy）。有关使用 Trivy 安装 Harbor 的信息，请参阅运行安装脚本。

如果升级路径是从 >=V1.10 版本到当前版本 (V2.0)，并且在之前的版本中设置了现有的系统默认扫描器 “ABC”，则该扫描器 “ABC” 将保留为系统默认扫描器；

您还可以将 Harbor 连接到您自己的 Trivy 实例或其他其他漏洞扫描器，通过 Harbor 的嵌入式查询服务。这些扫描器可以在安装后的任何时间在 Harbor UI 中配置。

出于企业合规性原因，或者因为您的组织已经使用特定的扫描器，可能需要将 Harbor 连接到其他扫描器。不同的扫描器也使用不同的漏洞数据库，捕获不同的 CVE 集合，并应用不同的严重性阈值。通过将 Harbor 连接到多个漏洞扫描器，您可以扩大针对漏洞的保护范围。有关当前支持的其他扫描器的列表，请参阅Harbor 兼容性列表。

您可以手动启动对特定镜像或 Harbor 中所有镜像的扫描。此外，您还可以设置策略以在特定时间间隔自动扫描所有镜像。Cosign 签名的漏洞扫描不受支持。

您还可以使用 Harbor API 端点 /projects/{project_name}/repositories/{repository_name}/artifacts/{reference}/additions/vulnerabilities 导出镜像的扫描。有关使用此端点的更多信息，请参阅Harbor Swagger 文件。

---

本节中的页面

• 将 Harbor 连接到其他漏洞扫描器
• 扫描单个工件
• 停止扫描 & 停止所有扫描
• 部署安全
• 扫描所有工件
• 计划扫描
• 将漏洞数据导入到离线 Harbor 实例
• 配置系统级 CVE 允许列表
• 为 trivy 配置自定义证书颁发机构