I dag åbner vi et nyt projekt kaldet Clair, et værktøj til at overvåge sikkerheden i dine containere. Clair er en API-drevet analysemotor, der inspicerer containere lag for lag for at finde kendte sikkerhedsfejl. Ved hjælp af Clair kan du nemt bygge tjenester, der giver løbende overvågning af containersårbarheder. CoreOS mener, at værktøjer, der forbedrer sikkerheden i verdens infrastruktur, bør være tilgængelige for alle brugere og leverandører, så vi har gjort projektet open source. Med samme formål byder vi din feedback og dine bidrag til Clair-projektet velkommen.
Clair er grundlaget for beta-versionen af Quay Security Scanning, en ny funktion, der kører nu på Quay for at undersøge de millioner af containere, der er gemt der, for sikkerhedssårbarheder. Quay-brugere kan logge ind i dag for at se oplysninger om Security Scanning i deres dashboard, herunder en liste over potentielt sårbare containere i deres repositories. Meddelelsen om betaversionen af Quay Security Scanning indeholder flere oplysninger til Quay-brugere.
Hvorfor oprette Clair: For forbedret sikkerhed
Sårbarheder vil altid eksistere i softwareverdenen. God sikkerhedspraksis betyder at være forberedt på uheld – at identificere usikre pakker og være forberedt på at opdatere dem hurtigt. Clair er designet til at hjælpe dig med at identificere usikre pakker, der kan findes i dine containere.
Det er en besværlig opgave at forstå, hvordan systemer er sårbare, især når der er tale om heterogene og dynamiske opsætninger. Målet er at sætte enhver udvikler i stand til at få intelligens om deres containerinfrastruktur. Endnu mere, teams får mulighed for at søge handling og anvende en rettelse til sårbarheder, når de opstår.
Sådan fungerer Clair
Clair scanner hvert containerlag og giver en meddelelse om sårbarheder, der kan udgøre en trussel, baseret på Common Vulnerabilities and Exposures-databasen (CVE) og lignende databaser fra Red Hat, Ubuntu og Debian. Da lag kan deles mellem mange containere, er introspektion afgørende for at opbygge en fortegnelse over pakker og matche den med kendte CVE’er.
Automatisk registrering af sårbarheder vil bidrage til at øge bevidstheden og bedste sikkerhedspraksis på tværs af udvikler- og driftshold og tilskynde til handling for at lappe og afhjælpe sårbarhederne. Når nye sårbarheder annonceres, ved Clair med det samme, uden ny scanning, hvilke eksisterende lag der er sårbare, og der sendes meddelelser.
For eksempel har CVE-2014-0160, alias “Heartbleed” været kendt i over 18 måneder, men Quay Scanning fandt alligevel, at den stadig er en potentiel trussel mod 80 procent af de Docker-images, som brugerne har gemt på Quay. Ligesom CoreOS Linux indeholder et auto-opdateringsværktøj, der patcherede Heartbleed i OS-laget, håber vi, at dette værktøj vil forbedre sikkerheden i containerlaget og bidrage til at gøre CoreOS til det mest sikre sted at køre containere.
Tænk på, at sårbarheder ofte er afhængige af bestemte forhold for at blive udnyttet. F.eks. har Heartbleed kun betydning som en trussel, hvis den sårbare OpenSSL-pakke er installeret og bliver brugt. Clair er ikke egnet til dette analyseniveau, og teams bør stadig foretage dybere analyser efter behov.
Gå i gang
For at lære mere kan du se dette foredrag præsenteret af Joey Schorr og Quentin Machu om Clair. Og her er slides fra foredraget.
Dette er kun begyndelsen, og vi forventer mere og mere udvikling. Bidrag og støtte fra fællesskabet er velkomne – prøv det i Quay eller aktiver det i dit containermiljø, og lad os vide, hvad du synes.
Teamet bag Clair vil være til DockerCon EU i Barcelona den 16.-17. november. Kig forbi Quay-standen for at få mere at vide eller se en demo af Clair eller Quay Security Scanning.