CoreOS发布Clair,容器镜像分析器
四个月前,CoreOS启动了Clair,它是一个开源的容器镜像安全分析器。今天Clair已经升级到1.0,并为在生产环境使用做好了准备。
CoreOS的愿景就是让全世界的基础设施更加安全,作为其中的一部分,CoreOS今天发布了新版本的Clair容器镜像安全分析器。这是一个用来检测容器镜像中已知安全漏洞的强大并且可扩展的工具。Clair使开发者能够创建用来扫描容器中的安全威胁以及漏洞的服务。
Clair发布威胁容器安全的漏洞信息,这些信息有用并且可执行,这样可以帮助DevOps团队维持容器的安全。社区的反馈引导了Clair的很多最新功能,不但包括披露是否存在漏洞的能力,而且提供了可行的补丁或者更新来纠正它。而且,1.0版本提高了性能以及可扩展性,并授权开发者和运维专家来实现他们自己的Clair周边服务。
为什么要更新软件增强安全性?
在我们之前的博文里,我们讨论了开展Clair项目的初衷以及我们对它的重要性的认识。在那个初始的公告之后,用户经常表示渴望学习能为提高容器的安全性做些什么。因此,我们很高兴推广这个实践,我们在能发现漏洞的功能之上,也增加了对漏洞修复的辨识能力。很多常用容器的镜像都是基于某些类型的Debian或者CentOS发行版,由于这些发行版的时间长、规模大,也带来了很大的攻击面以及很多潜在的漏洞。这些系统和包都可以更新,我们更鼓励用户采取行动,更新他们容器的镜像。Clair提供的分析样本和CoreOS指出的Qua容器registry确定:
- 超过70%的检测出的漏洞都可以修复,修复过程只需要简单地把容器镜像中已安装的软件包更新。
- 超过80%的高威胁以及严重威胁漏洞有已知修复方法,应用这些方法只需要更新镜像中的软件包。
把已安装的软件更新到最新版本会总体上提供基础设施的安全性,这就是为什么我们认为分析容器镜像的安全漏洞如此重要,并且给Clair发现的这些漏洞提供了明确的解决途径。容器镜像很少更新,但是有了Clair,用户可以更简单地发现并更新这些有问题的镜像。
Clair 1.0新功能
自从我们发布最初的公告以来,我们把精力集中在提高性能以及可用性上。我们从最大的瓶颈(数据库交互)开始。现在我们有抽象的数据库操作接口,我们首先完成了基于Postgres 9.4的实现。通过利用递归查询,我们可以模拟一个类图形界面的结构,就像我们维护一个传统SQL数据库的性能特征时一样。这把我们生产环境的一些API的响应时间提高了3个数量级,从30秒到30毫秒。
在提高性能的同时,我们也提高了可用性。新的RESTful JSON API已经推出,这对开发者来说更有用。之前的API和容器的registry之前的耦合性太强,因此新的API会更好的帮助社区把Clair集成到其他的工作流以及系统中去。
而且,为了提供更有用的数据给Clair API客户端,Clair 1.0为每个被检测到的漏洞引入了新的细节描述,包括:
- 发现漏洞的源软件包的名字和版本,Clair中称之为
Feature
。 - 如果漏洞已被修复,还会有修复了漏洞的Feature的版本信息。
- 和Common Vulnerability Scoring System (CVSS)系统中类似的元数据。CVSS元数据提供了漏洞的基本特征,例如:进出途径,是否需要认证,机密性,完整性或者可利用性等。
- 为了打补丁更简单,还会有镜像中引入漏洞的那一层的标记。
我们期待看到Clair社区在使用和扩展新的API上更聪明的方式。
在过去的几个月里,对大多数常规的使用案例来说,Clair的基础已经被证实是稳定的。为了让任何人都可以实现定制化的行为,我们通过让它的子系统可扩展,增强了它的灵活性。这些子系统包括:
- 获取器(Fetcher)- 从公共源收集漏洞数据
- 检测器(Detector)- 指出容器镜像中包含的
Feature
- 容器格式器(Image Format)- Clair已知的容器镜像格式,包括Docker,ACI
- 通知钩子(Notification Hook)- 当新的漏洞被发现时或者已经存在的漏洞发生改变时通知用户/机器
- 数据库(Databases)- 存储容器中各个层以及漏洞
我们会一直欢迎对Clair核心repository的贡献,但是那些可扩展的组件意味着任何公司都可以维护自己的增强Clair的扩展。比如,华为已经贡献了一个扩展,用来支持ACI容器镜像格式。
原文链接:CoreOS Delivers on Security with v1.0 of Clair Container Image Analyzer(翻译:Lambert Sun)
===========================================================
译者介绍
Lambert Sun,趋势科技DevOps Lead,敏捷开发实践者。
CoreOS发布Clair,容器镜像分析器相关推荐
- CoreOS发布开源容器漏洞分析工具Clair
今天我们开源了一个新的项目,Clair,这是一个用来对容器安全进行监控的工具.Clair是个API驱动(API-Driven)的分析引擎,能逐层逐层地对已知的安全漏洞进行审查.你能轻松使用Clair构 ...
- 让容器应用管理更快更安全,Dragonfly 发布 Nydus 容器镜像加速服务
镜像对容器部署的挑战 在容器的生产实践中,偏小的容器镜像能够很快地部署启动.当应用的镜像达到几个 GB 以上的时候,在节点上下载镜像通常会消耗大量的时间.Dragonfly 通过引入 P2P 网络有效 ...
- clair容器镜像工作流程
clair工作 主要包括layers,vulnerabilities, fix的操作 过程 提交layer,把name.path和认证提交上去,clair服务器,根据header和path把layer ...
- 你可能不知道的容器镜像安全实践
大家好,我是Edison. 最近在公司搭建CI流水线,涉及到容器镜像安全的话题,形成了一个笔记,分享与你,也希望我们都能够提高对安全的重视. 时代背景 近年来应用程序逐步广泛运行在容器内,容器的采用率 ...
- Clair:CoreOS发布的开源容器漏洞分析工具
Clair为何而生:提升安全 软件世界里,安全漏洞会一直存在.好的安全实践意味着要对可能出现的事故未雨绸缪 - 即尽早发现不安全的软件包,并准备好快速进行升级.而Clair就是设计来帮助你找出容器中可 ...
- GCP发布Kaniko:在非特权容器和Kubernetes中构建容器镜像的工具
\ 看新闻很累?看技术新闻更累?试试下载InfoQ手机客户端,每天上下班路上听新闻,有趣还有料! \ \\ Google发布了"Kaniko",一种用于在未授权容器或Kuberne ...
- 全新Docker Hub发布:提供查找、存储和共享容器镜像单一体验
Docker发布了一种新的Docker Hub体验,它将之前的Docker Store.Docker Cloud和Docker Hub融为一体,为用户提供了查找.存储和共享容器镜像的单一体验.现在,可 ...
- 祝贺丨openGauss正式亮相,云和恩墨发布可公开下载的容器镜像
点击上方"蓝字"关注我们吧! 6月30日晚10时 昨晚,期待已久的openGauss终于正式亮相,代码已可下载.(进入官网→ https://opengauss.org/zh/ ) ...
- 发布镜像到DockerHub和阿里云容器镜像服务
文章目录 一.发布镜像到DockerHub 1.拥有一个DockerHub的账号 2.在服务器上登录DockerHub账号 3.发布镜像 二.发布镜像到阿里云容器镜像服务 1.登录阿里云,进入容器镜像 ...
最新文章
- 定义一维数组一定要指定个数吗_6.1 C语言一维数组
- Junit测试 - Spring的配置
- Linux运维:cobbler
- Word2010-页眉中字数未满但自动换行
- es6 Proxy 简介
- apache的poi中设置Excel的单元格样式(HSSFCellStyle)和表格(HSSFSheet)
- Android传感器模拟器,如何为Android构建传感器模拟器?
- 春晚鬼畜 B 站日排行最高,赵本山:我的时代还没有结束!
- 线程池作用及Executors方法讲解
- 关于vray 5.2的使用(自研笔记)
- multivariate_normal TypeError: ufunc ‘add‘ output (typecode ‘O‘) could not be coerced to provided……
- 两年数据对比柱形图_【Excel技巧】制作柱形图图表完美呈现百分比,提升您的报表颜值...
- 刘强东学习亚马逊:控制供应链 技术是最大障碍
- kali 暴力破解 WiFi破解+fluxion安装使用(保姆级超详细)
- easyphp 12 mysql 启动_EasyPHP启用MYSQL报错
- led灯光衰怎么解决_如何解决LED光衰的问题
- 微信小店和微信小商店的区别?如何建立怎么开通?
- Missing parentheses in call to 'print'
- 世界上有多少Java开发人员?
- Word文档怎么进行加密