Oggi siamo open sourcing di un nuovo progetto chiamato Clair, uno strumento per monitorare la sicurezza dei tuoi container. Clair è un motore di analisi guidato da API che ispeziona i container strato per strato alla ricerca di falle di sicurezza note. Utilizzando Clair, è possibile costruire facilmente servizi che forniscono un monitoraggio continuo per le vulnerabilità dei container. CoreOS crede che gli strumenti che migliorano la sicurezza dell’infrastruttura mondiale dovrebbero essere disponibili per tutti gli utenti e i venditori, quindi abbiamo reso il progetto open source. Con lo stesso scopo, diamo il benvenuto ai vostri feedback e contributi al progetto Clair.
Clair è la base della versione beta di Quay Security Scanning, una nuova funzionalità in esecuzione ora su Quay per esaminare i milioni di contenitori memorizzati per le vulnerabilità di sicurezza. Gli utenti di Quay possono accedere oggi per vedere le informazioni di Security Scanning nella loro dashboard, compreso un elenco di contenitori potenzialmente vulnerabili nei loro repository. L’annuncio di Quay Security Scanning beta ha maggiori dettagli per gli utenti di Quay.
Perché creare Clair: Per migliorare la sicurezza
Le vulnerabilità esisteranno sempre nel mondo del software. Una buona pratica di sicurezza significa essere preparati ai contrattempi – per identificare i pacchetti insicuri ed essere pronti ad aggiornarli rapidamente. Clair è progettato per aiutarvi a identificare i pacchetti insicuri che possono esistere nei vostri contenitori.
Capire come i sistemi sono vulnerabili è un compito laborioso, specialmente quando si ha a che fare con configurazioni eterogenee e dinamiche. L’obiettivo è quello di consentire a qualsiasi sviluppatore di ottenere informazioni sulla propria infrastruttura di container. Ancora di più, i team sono autorizzati a cercare azioni e applicare una correzione alle vulnerabilità non appena si presentano.
Come funziona Clair
Clair analizza ogni livello di container e fornisce una notifica delle vulnerabilità che possono essere una minaccia, basata sul database Common Vulnerabilities and Exposures (CVE) e su database simili di Red Hat, Ubuntu e Debian. Poiché i layer possono essere condivisi tra molti container, l’introspezione è vitale per costruire un inventario di pacchetti e confrontarlo con i CVE conosciuti.
Il rilevamento automatico delle vulnerabilità aiuterà ad aumentare la consapevolezza e le migliori pratiche di sicurezza tra i team di sviluppatori e operativi, e incoraggerà le azioni per applicare patch e affrontare le vulnerabilità. Quando vengono annunciate nuove vulnerabilità, Clair sa subito, senza ripetere la scansione, quali livelli esistenti sono vulnerabili e le notifiche vengono inviate.
Per esempio, CVE-2014-0160, noto anche come “Heartbleed” è noto da oltre 18 mesi, ma Quay Scanning ha scoperto che è ancora una potenziale minaccia per l’80% delle immagini Docker che gli utenti hanno memorizzato su Quay. Proprio come CoreOS Linux contiene uno strumento di aggiornamento automatico che ha patchato Heartbleed a livello del sistema operativo, speriamo che questo strumento migliori la sicurezza del livello del contenitore, e contribuisca a rendere CoreOS il luogo più sicuro per eseguire i contenitori.
Si noti che le vulnerabilità spesso si basano su condizioni particolari per essere sfruttate. Per esempio, Heartbleed conta solo come minaccia se il pacchetto OpenSSL vulnerabile è installato e utilizzato. Clair non è adatto a questo livello di analisi e i team dovrebbero comunque intraprendere un’analisi più profonda, se necessario.
Iniziare
Per saperne di più, guardate questo discorso presentato da Joey Schorr e Quentin Machu su Clair. Ed ecco le diapositive del discorso.
Questo è solo l’inizio e ci aspettiamo sempre più sviluppo. I contributi e il supporto della comunità sono benvenuti – provatelo in Quay o abilitatelo nel vostro ambiente container e fateci sapere cosa ne pensate.
Il team dietro Clair sarà alla DockerCon EU a Barcellona, il 16-17 novembre. Fermatevi allo stand di Quay per saperne di più o per vedere una demo di Clair o di Quay Security Scanning.