今天我们开源了一个新项目Clair,这是一个容器安全监控工具。Clair是一个API驱动的分析引擎,可以逐层审查已知的安全漏洞。您可以轻松地使用Clair构建容器安全漏洞的持续监控服务。CoreOS坚信,那些可以改善世界基础设施的安全工具值得所有用户和公司使用,所以我们将它们开源。本着相同的目标,我们期待您对Clair项目的反馈和贡献。Quay的安全扫描(SecurityScanning)功能的beta版本是基于Clair。这项新功能目前正在Quay上运行,可以对存储在Quay平台上的数百万个容器进行安全漏洞检查。现在,Quay用户可以登录后台,在控制面板中查看SecureScanning的信息,其中包括仓库中可能存在漏洞的容器列表。Quay安全扫描的测试版发布公告为Quay用户提供了更多详细信息。Clair为何诞生:提高安全性在软件世界中,安全漏洞永远存在。良好的安全实践意味着为可能发生的事故做好准备——也就是说,及早发现不安全的包并准备好快速升级它们。而Clair旨在帮助您找到容器中可能存在的不安全包裹。了解对系统的威胁可能是一项艰巨的任务,尤其是当您处理的环境是异构或动态的时候。Clair的目标是让任何开发人员都能更深入地了解容器基础架构。甚至,允许团队在漏洞出现时找到解决方案并修复漏洞。Clair的工作原理Clair扫描每个容器层并针对可能成为威胁的漏洞发出预警。其数据基于通用漏洞披露数据库(CommonVulnerabilitiesandExposuresDatabase,简称CVE),以及RedHat、Ubuntu和Debian的类似数据库。由于层可以在多个容器之间共享,因此在构建大型软件包存储库并将它们与CVE数据库进行比较之前,审查至关重要。漏洞自动检测有助于提高漏洞意识,在开发和运维团队中实施最佳安全实践,促进漏洞的修复和解决。当宣布新的漏洞时,将重新扫描所有现有层并发出相应的警告。例如,CVE-2014-0160,也被称为心脏出血(heartbleed),已经知道了18个月,但Quay的扫描发现它仍然对Quay平台上近80%的用户Docker镜像构成潜在威胁。正如CoreOS包含一个自动更新工具来修复操作系统级别的Heartbleed,我们希望这个工具能够提高容器级别的安全性,并帮助CoreOS成为运行容器的最安全的地方之一。首先,您可以观看JoeySchorr和QuentinMachu分享的关于Clar的视频以了解更多信息。分享中使用的幻灯片也可以帮助你。这只是一个开始,我们希望能开发出更多。我们始终欢迎社区的贡献和支持。您可以在Quay中试用Clair,或在您自己的环境中启用它,并让我们知道您的想法。Clair团队将于11月16日至17日参加在巴塞罗那举行的DockerConEurope。来Quay的展位了解更多详情,或观看Clair或QuaySecureScanning的演示。原文链接:http://www.dockone.io/article/824
