CoreOS釋出Clair,容器映象分析器
四個月前,CoreOS啟動了Clair,它是一個開源的容器映象安全分析器。今天Clair已經升級到1.0,併為在生產環境使用做好了準備。
CoreOS的願景就是讓全世界的基礎設施更加安全,作為其中的一部分,CoreOS今天釋出了新版本的Clair容器映象安全分析器。這是一個用來檢測容器映象中已知安全漏洞的強大並且可擴充套件的工具。Clair使開發者能夠建立用來掃描容器中的安全威脅以及漏洞的服務。
Clair釋出威脅容器安全的漏洞資訊,這些資訊有用並且可執行,這樣可以幫助DevOps團隊維持容器的安全。社群的反饋引導了Clair的很多最新功能,不但包括披露是否存在漏洞的能力,而且提供了可行的補丁或者更新來糾正它。而且,1.0版本提高了效能以及可擴充套件性,並授權開發者和運維專家來實現他們自己的Clair周邊服務。
為什麼要更新軟體增強安全性?
在我們之前的博文裡,我們討論了開展Clair專案的初衷以及我們對它的重要性的認識。在那個初始的公告之後,使用者經常表示渴望學習能為提高容器的安全性做些什麼。因此,我們很高興推廣這個實踐,我們在能發現漏洞的功能之上,也增加了對漏洞修復的辨識能力。很多常用容器的映象都是基於某些型別的Debian或者CentOS發行版,由於這些發行版的時間長、規模大,也帶來了很大的攻擊面以及很多潛在的漏洞。這些系統和包都可以更新,我們更鼓勵使用者採取行動,更新他們容器的映象。Clair提供的分析樣本和CoreOS指出的Qua容器registry確定:
- 超過70%的檢測出的漏洞都可以修復,修復過程只需要簡單地把容器映象中已安裝的軟體包更新。
- 超過80%的高威脅以及嚴重威脅漏洞有已知修復方法,應用這些方法只需要更新映象中的軟體包。
把已安裝的軟體更新到最新版本會總體上提供基礎設施的安全性,這就是為什麼我們認為分析容器映象的安全漏洞如此重要,並且給Clair發現的這些漏洞提供了明確的解決途徑。容器映象很少更新,但是有了Clair,使用者可以更簡單地發現並更新這些有問題的映象。
Clair 1.0新功能
自從我們釋出最初的公告以來,我們把精力集中在提高效能以及可用性上。我們從最大的瓶頸(資料庫互動)開始。現在我們有抽象的資料庫操作介面,我們首先完成了基於Postgres 9.4的實現。通過利用遞迴查詢,我們可以模擬一個類圖形介面的結構,就像我們維護一個傳統SQL資料庫的效能特徵時一樣。這把我們生產環境的一些API的響應時間提高了3個數量級,從30秒到30毫秒。
在提高效能的同時,我們也提高了可用性。新的RESTful JSON API已經推出,這對開發者來說更有用。之前的API和容器的registry之前的耦合性太強,因此新的API會更好的幫助社群把Clair整合到其他的工作流以及系統中去。
而且,為了提供更有用的資料給Clair API客戶端,Clair 1.0為每個被檢測到的漏洞引入了新的細節描述,包括:
- 發現漏洞的源軟體包的名字和版本,Clair中稱之為
Feature。 - 如果漏洞已被修復,還會有修復了漏洞的Feature的版本資訊。
- 和Common Vulnerability Scoring System (CVSS)系統中類似的後設資料。CVSS後設資料提供了漏洞的基本特徵,例如:進出途徑,是否需要認證,機密性,完整性或者可利用性等。
- 為了打補丁更簡單,還會有映象中引入漏洞的那一層的標記。
我們期待看到Clair社群在使用和擴充套件新的API上更聰明的方式。
在過去的幾個月裡,對大多數常規的使用案例來說,Clair的基礎已經被證實是穩定的。為了讓任何人都可以實現定製化的行為,我們通過讓它的子系統可擴充套件,增強了它的靈活性。這些子系統包括:
- 獲取器(Fetcher)- 從公共源收集漏洞資料
- 檢測器(Detector)- 指出容器映象中包含的
Feature - 容器格式器(Image Format)- Clair已知的容器映象格式,包括Docker,ACI
- 通知鉤子(Notification Hook)- 當新的漏洞被發現時或者已經存在的漏洞發生改變時通知使用者/機器
- 資料庫(Databases)- 儲存容器中各個層以及漏洞
我們會一直歡迎對Clair核心repository的貢獻,但是那些可擴充套件的元件意味著任何公司都可以維護自己的增強Clair的擴充套件。比如,華為已經貢獻了一個擴充套件,用來支援ACI容器映象格式。
原文連結:CoreOS Delivers on Security with v1.0 of Clair Container Image Analyzer(翻譯:Lambert Sun)
===========================================================
譯者介紹
Lambert Sun,趨勢科技DevOps Lead,敏捷開發實踐者。
相關文章
- Docker 匯出容器 / 映象Docker
- 讓容器應用管理更快更安全,Dragonfly 釋出 Nydus 容器映象加速服務Go
- docker映象的釋出Docker
- CoreOS,一款 Linux 容器發行版Linux
- CoreOS實踐(1)—CoreOS初體驗
- quay.io/coreos/etcd 基於Docker映象的叢集搭建Docker
- 映象規範檢測工具釋出
- drone學習筆記-釋出映象筆記
- Docker容器和映象的建立/匯出/刪除/匯入Docker
- Docker & ASP.NET Core (3):釋出映象DockerASP.NET
- SQLServer映象雲市場售賣釋出SQLServer
- [Docker核心之容器、資料庫檔案的匯入匯出、容器映象的匯入匯出]Docker資料庫
- CoreOS實戰
- 騰訊雲釋出容器安全白皮書
- 淺述容器和容器映象的區別
- DockerCon回顧(一):Docker、CoreOS握手言和,共同制定容器標準Docker
- 使用docker buildx打包釋出多平臺映象DockerUI
- 容器技術之Docker映象Docker
- 1.03 docker的映象和容器Docker
- 批量刪除容器和映象
- docker映象、容器以及命令操作Docker
- .NET 8 的openEuler 容器映象
- CoreOS實踐(2)—在coreos上安裝Kubernetes
- 探析 Spring 容器內部事件釋出Spring事件
- Jenkins 外掛中心國內映象源釋出Jenkins
- docker 批量刪除容器和映象Docker
- docker容器與映象的區別Docker
- Docker--容器和映象的使用Docker
- 漢語言處理包HanLPv1.6.0釋出,感知機詞法分析器HanLP詞法分析
- 容器和容器映象的區別,您真的瞭解嗎
- Jenkins 構建自動化 .NET Core 釋出映象Jenkins
- 實踐:Docker容器與映象管理Docker
- Docker 映象及容器操作命令介紹Docker
- docker刪除所有容器和映象命令Docker
- 細述docker容器建立MariaDB映象Docker
- HyperLedger/Fabric SDK使用Docker容器映象快Docker
- Trivy 容器映象掃描工具學習
- 製作容器映象的最佳實踐