Harbor项目中Trivy扫描器GHCR速率限制问题的解决方案

问题背景

在Harbor项目中使用Trivy作为扫描器时，许多用户遇到了从GitHub容器注册表(ghcr.io)下载数据库时的速率限制问题。当Trivy扫描器尝试从ghcr.io/aquasecurity/trivy-db和ghcr.io/aquasecurity/trivy-java-db下载数据库时，经常会收到TOOMANYREQUESTS错误，导致扫描任务失败。

技术分析

Trivy扫描器默认配置会从GitHub容器注册表下载数据库，但GitHub对匿名用户的拉取请求有严格的速率限制。Aqua Security官方提供了替代的数据库镜像源，位于AWS ECR公共库(public.ecr.aws/aquasecurity/)，这些源不受GitHub的速率限制影响。

解决方案演进

初始解决方案尝试

用户最初尝试通过Harbor Helm Chart配置环境变量来覆盖默认的数据库源：

trivy:
  extraEnvVars:
    - name: SCANNER_TRIVY_DB_REPOSITORY
      value: public.ecr.aws/aquasecurity/trivy-db
    - name: SCANNER_TRIVY_JAVA_DB_REPOSITORY
      value: public.ecr.aws/aquasecurity/trivy-java-db

然而，在Harbor v2.11.1及更早版本中，这些环境变量并未被Trivy适配器正确处理，扫描器仍然会尝试从ghcr.io拉取数据库。

版本兼容性

Harbor v2.12.0中集成了Trivy适配器v0.32.0，该版本正式支持通过环境变量覆盖数据库源的功能。用户升级到该版本后，配置的环境变量能够正确生效，解决了速率限制问题。

版本混淆问题

需要注意的是，Harbor项目中的Trivy相关组件存在多个版本号：

1. Trivy扫描器本身版本(如v0.56.1)
2. harbor-scanner-trivy适配器版本(如v0.32.0)
3. Harbor整体版本(如v2.12.0)

在Harbor Helm Chart中配置的是trivy-adapter-photon镜像的标签，这个标签与Harbor主版本号一致，而不是与Trivy或适配器版本一致，这可能导致一些混淆。

最佳实践建议

1. 版本选择：建议使用Harbor v2.12.0或更高版本，确保数据库源覆盖功能可用。

2. 正确配置：在Helm values.yaml中同时配置数据库源覆盖和正确的镜像版本：

trivy:
  image:
    tag: v2.12.0  # 对应Harbor版本
  extraEnvVars:
    - name: SCANNER_TRIVY_DB_REPOSITORY
      value: public.ecr.aws/aquasecurity/trivy-db
    - name: SCANNER_TRIVY_JAVA_DB_REPOSITORY
      value: public.ecr.aws/aquasecurity/trivy-java-db

3. 监控更新：关注Harbor Helm Chart的更新，确保及时获取最新的Trivy适配器功能。

总结

通过合理配置和版本选择，可以有效地解决Harbor中Trivy扫描器面临的GitHub容器注册表速率限制问题。关键在于使用支持数据库源覆盖功能的适配器版本，并正确配置AWS ECR作为替代源。随着Harbor项目的持续更新，这一问题将得到更好的原生支持。