1. 版本管理

  • 始终使用最新的稳定版本
  • 订阅 Harbor 安全公告邮件列表
  • 定期检查 GitHub Releases 页面

2. 认证配置

  • 生产环境使用 LDAP/OIDC 集成认证
  • 禁用自注册功能(self_registration: false
  • 强制使用强密码策略

3. 网络安全

  • 将 Harbor 部署在内网
  • 使用 TLS/SSL 加密通信
  • 配置 WAF 保护 API 端点
  • 限制对云元数据服务的访问

4. 访问控制

  • 最小权限原则分配项目角色
  • 定期审计用户权限
  • 敏感项目设置为私有

5. 审计与监控

  • 启用操作日志记录
  • 监控异常登录行为
  • 定期审查安全事件

6. 镜像安全

  • 启用镜像漏洞扫描功能
  • 配置镜像签名验证
  • 设置镜像保留策略

7. 备份与恢复

  • 定期备份数据库和配置
  • 测试恢复流程
  • 异地备份关键数据