配置项目级 CVE 允许列表

当您运行漏洞扫描时,会识别出受通用漏洞和暴露 (CVE) 影响的镜像。根据 CVE 的严重程度和您的安全设置,这些镜像可能不允许运行。您可以创建 CVE 允许列表,以在漏洞扫描期间忽略这些 CVE。

Harbor 管理员可以设置系统级 CVE 允许列表。有关站点级 CVE 允许列表的信息,请参阅配置系统级 CVE 允许列表。默认情况下,系统允许列表应用于所有项目。您可以为各个项目配置不同的 CVE 允许列表,以覆盖系统允许列表。

  1. 转到项目,选择一个项目,然后选择配置

  2. CVE 允许列表下,选择项目允许列表

    Project CVE allowlist

  3. 可选择单击从系统复制,将系统 CVE 允许列表中的所有 CVE ID 添加到此项目允许列表。

  4. 单击添加,然后输入要在此项目漏洞扫描期间忽略的其他 CVE ID 列表。

    Add project CVEs

    可以使用逗号分隔列表或换行符来添加多个 CVE ID 到列表。

  5. 单击窗口底部的添加,将 CVE 添加到项目允许列表。

  6. 可选择取消选中永不过期复选框,并使用日历选择器设置允许列表的过期日期。

  7. 单击页面底部的保存以保存您的设置。

创建项目允许列表后,您可以通过单击列表中 CVE ID 旁边的删除按钮来从中删除 CVE ID。您可以随时单击添加,以向此项目允许列表添加更多 CVE ID。

如果在创建项目允许列表后,系统允许列表中添加了 CVE,请单击从系统复制,将系统允许列表中的新条目添加到项目允许列表。

如果在创建项目允许列表后,系统允许列表中删除了 CVE,并且您已将系统允许列表添加到项目允许列表,则必须手动从项目允许列表中删除已删除的 CVE。如果在从系统允许列表中删除 CVE 后单击从系统复制,则已删除的 CVE 不会自动从项目允许列表中删除。