CoreOS發(fā)布開(kāi)源容器漏洞分析工具Clair

作者：翻譯：鐘最龍 2015-11-17 09:46:29

云計(jì)算

云安全 Quay的Security Scanning(安全掃描)功能beta版本的就是基于Clair做的。這個(gè)新功能目前運(yùn)行在Quay上，可以對(duì)Quay平臺(tái)上存儲(chǔ)的數(shù)百萬(wàn)計(jì)的容器的進(jìn)行安全漏洞檢查?，F(xiàn)在，Quay用可以登錄后臺(tái)，在控制面板看到有關(guān)于Secure Scanning的信息，信息包含倉(cāng)庫(kù)中可能有漏洞威脅的容器列表。Quay Security Scanning的beta發(fā)布公告里面有對(duì)于Quay用戶(hù)更詳細(xì)的信息。

今天我們開(kāi)源了一個(gè)新的項(xiàng)目，Clair，這是一個(gè)用來(lái)對(duì)容器安全進(jìn)行監(jiān)控的工具。Clair是個(gè)API驅(qū)動(dòng)(API-Driven)的分析引擎，能逐層逐層地對(duì)已知的安全漏洞進(jìn)行審查。你能輕松使用Clair構(gòu)建出針對(duì)容器安全漏洞的持續(xù)監(jiān)控服務(wù)。CoreOS深信，那些能改善世界基礎(chǔ)設(shè)施的安全工具，值得所有的用戶(hù)和公司都擁有，所以我們將其開(kāi)源。為了同樣的目標(biāo)，我們期待大家對(duì)Clair項(xiàng)目的反饋和貢獻(xiàn)。

Quay的Security Scanning(安全掃描)功能beta版本的就是基于Clair做的。這個(gè)新功能目前運(yùn)行在Quay上，可以對(duì)Quay平臺(tái)上存儲(chǔ)的數(shù)百萬(wàn)計(jì)的容器的進(jìn)行安全漏洞檢查?，F(xiàn)在，Quay用可以登錄后臺(tái)，在控制面板看到有關(guān)于Secure Scanning的信息，信息包含倉(cāng)庫(kù)中可能有漏洞威脅的容器列表。Quay Security Scanning的beta發(fā)布公告里面有對(duì)于Quay用戶(hù)更詳細(xì)的信息。

Clair為何而生：提升安全

軟件世界里，安全漏洞會(huì)一直存在。好的安全實(shí)踐意味著要對(duì)可能出現(xiàn)的事故未雨綢繆 - 即盡早發(fā)現(xiàn)不安全的軟件包，并準(zhǔn)備好快速進(jìn)行升級(jí)。而Clair就是設(shè)計(jì)來(lái)幫助你找出容器中可能存在的不安全軟件包。

要理解系統(tǒng)會(huì)受到哪些威脅威脅是一個(gè)勞力傷神的事情，尤其當(dāng)你應(yīng)對(duì)的環(huán)境是異構(gòu)或者動(dòng)態(tài)的的時(shí)候。Clair的目標(biāo)是讓任何開(kāi)發(fā)者都能增強(qiáng)對(duì)容器基礎(chǔ)設(shè)施的洞見(jiàn)的能力。甚至于，讓團(tuán)隊(duì)能在漏洞出現(xiàn)時(shí)，能夠找到方案并且修復(fù)漏洞。

Clair工作原理

Clair對(duì)每個(gè)容器layer進(jìn)行掃描，并且對(duì)于那些可能成為威脅的漏洞發(fā)出預(yù)警。它的數(shù)據(jù)是基于Common Vulnerabilities and Exposures數(shù)據(jù)庫(kù)(常見(jiàn)的漏洞和風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)，簡(jiǎn)稱(chēng)CVE)，和Red Hat，Ubuntu和Debian的類(lèi)似數(shù)據(jù)庫(kù)。因?yàn)閘ayer可以在很多的容器之間共享，審查至關(guān)重要，然后才能構(gòu)建一個(gè)軟件包的大倉(cāng)庫(kù)，并且與CVE數(shù)據(jù)庫(kù)進(jìn)行比對(duì)。

漏洞的自動(dòng)檢測(cè)能幫助提升對(duì)漏洞的認(rèn)知，在開(kāi)發(fā)及運(yùn)維團(tuán)隊(duì)里實(shí)施最佳安全實(shí)踐，和促使漏洞的修復(fù)并解決。當(dāng)新的漏洞公布出來(lái)，所有已有的layer都會(huì)被重新掃描，并且發(fā)出相應(yīng)的預(yù)警。

例如，CVE-2014-0160，又被稱(chēng)作Heartbleed(心臟出血)，已經(jīng)聞名18個(gè)月了，然而Quay的Scanning發(fā)現(xiàn)對(duì)于Quay平臺(tái)上的近80%的用戶(hù)Docker鏡像它仍然其一個(gè)潛在的威脅。就如CoreOS 包含一個(gè)自動(dòng)更新的工具，能在操作系統(tǒng)層修復(fù)Heartbleed一樣，我們希望這個(gè)工具能在容器的層面上，提升安全性，并且?guī)椭鶦oreOS成為運(yùn)行容器的一個(gè)最安全的地方。

開(kāi)始使用

你可以觀看Joey Schorr和Quentin Machu關(guān)于Clar的分享視頻 來(lái)了解更多內(nèi)容。分享中的用到的幻燈片也能幫到到你。

這只是一個(gè)開(kāi)始，我們希望對(duì)其更多更多的開(kāi)發(fā)。我們一直歡迎社區(qū)的貢獻(xiàn)和支持。你可以在Quay中試用Clair，或者在你自己的環(huán)境中啟用它，歡迎你講你的想法告訴我們。

Clair團(tuán)隊(duì)將會(huì)參加在11月16-17在巴塞羅那的歐洲D(zhuǎn)ockerCon。歡迎光臨Quay的展臺(tái)了解更多的細(xì)節(jié)，或者觀看Clair或者Quay Secure Scanning的演示demo。

原文鏈接：http://www.dockone.io/article/824

當(dāng)前名稱(chēng)：CoreOS發(fā)布開(kāi)源容器漏洞分析工具Clair
文章起源：http://www.dlmjj.cn/article/cojihdg.html