Hoy estamos haciendo open sourcing de un nuevo proyecto llamado Clair, una herramienta para monitorizar la seguridad de sus contenedores. Clair es un motor de análisis basado en la API que inspecciona los contenedores capa por capa en busca de fallos de seguridad conocidos. Usando Clair, puedes construir fácilmente servicios que proporcionen una monitorización continua de las vulnerabilidades de los contenedores. CoreOS cree que las herramientas que mejoran la seguridad de la infraestructura mundial deben estar disponibles para todos los usuarios y proveedores, por lo que hemos hecho que el proyecto sea de código abierto. Con ese mismo propósito, agradecemos sus comentarios y contribuciones al proyecto Clair.
Clair es la base de la versión beta de Quay Security Scanning, una nueva característica que se ejecuta ahora en Quay para examinar los millones de contenedores almacenados allí en busca de vulnerabilidades de seguridad. Los usuarios de Quay pueden conectarse hoy para ver la información de Security Scanning en su tablero, incluyendo una lista de contenedores potencialmente vulnerables en sus repositorios. El anuncio de Quay Security Scanning beta tiene más detalles para los usuarios de Quay.
Por qué crear Clair: Para mejorar la seguridad
Las vulnerabilidades siempre existirán en el mundo del software. Una buena práctica de seguridad significa estar preparado para los contratiempos: identificar los paquetes inseguros y estar preparado para actualizarlos rápidamente. Clair está diseñado para ayudarle a identificar los paquetes inseguros que puedan existir en sus contenedores.
Entender cómo los sistemas son vulnerables es una tarea laboriosa, especialmente cuando se trata de configuraciones heterogéneas y dinámicas. El objetivo es facultar a cualquier desarrollador para obtener inteligencia sobre su infraestructura de contenedores. Más aún, los equipos están facultados para buscar acciones y aplicar una solución a las vulnerabilidades a medida que surgen.
Cómo funciona Clair
Clair escanea cada capa de contenedores y proporciona una notificación de las vulnerabilidades que pueden ser una amenaza, basándose en la base de datos de Vulnerabilidades y Exposiciones Comunes (CVE) y bases de datos similares de Red Hat, Ubuntu y Debian. Dado que las capas pueden ser compartidas entre muchos contenedores, la introspección es vital para construir un inventario de paquetes y compararlo con los CVEs conocidos.
La detección automática de vulnerabilidades ayudará a aumentar la concienciación y las mejores prácticas de seguridad entre los equipos de desarrolladores y operaciones, y fomentará la acción para parchear y solucionar las vulnerabilidades. Cuando se anuncian nuevas vulnerabilidades, Clair sabe de inmediato, sin necesidad de volver a escanear, qué capas existentes son vulnerables y se envían notificaciones.
Por ejemplo, CVE-2014-0160, alias «Heartbleed» se conoce desde hace más de 18 meses, y sin embargo Quay Scanning descubrió que sigue siendo una amenaza potencial para el 80 por ciento de las imágenes Docker que los usuarios tienen almacenadas en Quay. Al igual que CoreOS Linux contiene una herramienta de auto-actualización que parchea Heartbleed en la capa del sistema operativo, esperamos que esta herramienta mejore la seguridad de la capa de contenedores, y ayude a hacer de CoreOS el lugar más seguro para ejecutar contenedores.
Tenga en cuenta que las vulnerabilidades a menudo dependen de condiciones particulares para ser explotadas. Por ejemplo, Heartbleed sólo es una amenaza si el paquete vulnerable OpenSSL está instalado y se utiliza. Clair no es adecuado para ese nivel de análisis y los equipos deben realizar un análisis más profundo según sea necesario.
Comienza
Para saber más, mira esta charla presentada por Joey Schorr y Quentin Machu sobre Clair. Y, aquí están las diapositivas de la charla.
Esto es sólo el comienzo y esperamos más y más desarrollo. Las contribuciones y el apoyo de la comunidad son bienvenidos – pruébalo en Quay o habilítalo en tu entorno de contenedores y haznos saber lo que piensas.
El equipo detrás de Clair estará en DockerCon EU en Barcelona, 16-17 de noviembre. Por favor, pásate por el stand de Quay para saber más o ver una demo de Clair o de Quay Security Scanning.