随着容器使用的增长,从安全角度出发越来越需要了解容器中实际运行的是什么。这就是CoreOS的Clair容器安全项目的目标,该项目今天正式达到1.0里程碑,以帮助组织验证容器应用程序的安全性。
Clair于2015年11月首次宣布,是一项开源工作,旨在识别容器中的易受伤害组件。容器应用程序可以集成许多可能包含已知漏洞的不同组件。
“我们的权威数据来源是上游操作系统供应商和国家漏洞数据库,” CoreOS产品经理Jake Moshenko告诉eWEEK。“我们依靠操作系统供应商来提供受影响软件包的列表,并在修复它们时通知我们。”
莫申科说,克莱尔的上游信息资源也使项目能够追溯并立即识别何时发现旧图像易受新漏洞的影响。“ Clair提供了用户可能不知道的容器映像中任何已知漏洞的信息。我们的新API中还有其他可操作的信息,这些信息可告诉开发人员确切的信息是他们的程序包中包含漏洞,以及通过升级到最新版本。”
在发现易受攻击的组件之后重建容器映像方面,Clair本身实际上并没有更改任何用户映像。也就是说,Moshenko指出,通过使用来自Clair或CoreOS的Quay储存库技术的webhook通知,用户可以选择启动工作流以自动更新和重建其图像。
尽管Clair最初是作为CoreOS项目开始的,但它是一项开源工作,并且在最近几个月中,它已从多个外部贡献中受益。
“在github.com/coreos/clair存储库的15个贡献者中,只有4个是付费的CoreOS开发者,” Moshenko说。
在Clair 1.0版本中,该项目还增加了子系统组件的新可扩展性。莫申科解释说,子系统在软件中提供了扩展点。
莫申科说:“使用克莱尔的任何人都可以自由添加自己的事实来源或索引策略。” “例如,一家跟踪自己的安全漏洞和缺陷的大公司可以编写自己的检测器和提取程序,以插入其基础架构。”
现在,市场上进行了多种努力,以帮助提高容器安全性并检测容器应用程序中存在的潜在漏洞。Docker公司在2015年11月宣布了Nautilus安全措施,以帮助识别易受攻击的容器。Linux厂商红帽公司合作与黑鸭子软件打造深的集装箱检查发现潜在的漏洞。
Moshenko说,由于Clair是开源的,因此可以部署在内部。Clair还会索引它预先扫描的所有内容,并且能够查找问题并通知用户有关问题,而无需重新运行或重新分析图像。
克莱尔的未来发展清单上有很多项目。莫申科说:“我们计划与规模较小的操作系统供应商合作,以获取其漏洞数据的机器可读源。” “我们还计划对容器映像进行内置支持,以在不直接依赖操作系统供应商的情况下自报告其软件功能和漏洞数据。
