Aujourd’hui, nous mettons en open source un nouveau projet appelé Clair, un outil pour surveiller la sécurité de vos conteneurs. Clair est un moteur d’analyse piloté par API qui inspecte les conteneurs couche par couche à la recherche de failles de sécurité connues. Grâce à Clair, vous pouvez facilement créer des services qui assurent une surveillance continue des vulnérabilités des conteneurs. CoreOS estime que les outils qui améliorent la sécurité de l’infrastructure mondiale doivent être mis à la disposition de tous les utilisateurs et fournisseurs, c’est pourquoi nous avons rendu le projet open source. Dans ce même but, nous accueillons vos commentaires et vos contributions au projet Clair.
Clair est la fondation de la version bêta de Quay Security Scanning, une nouvelle fonctionnalité fonctionnant maintenant sur Quay pour examiner les millions de conteneurs qui y sont stockés à la recherche de vulnérabilités de sécurité. Les utilisateurs de Quay peuvent se connecter aujourd’hui pour voir les informations de Security Scanning dans leur tableau de bord, y compris une liste de conteneurs potentiellement vulnérables dans leurs dépôts. L’annonce de la version bêta de Quay Security Scanning contient plus de détails pour les utilisateurs de Quay.
Pourquoi créer Clair : Pour une sécurité améliorée
Les vulnérabilités existeront toujours dans le monde du logiciel. Une bonne pratique de sécurité signifie être préparé aux mésaventures – pour identifier les paquets non sécurisés et être prêt à les mettre à jour rapidement. Clair est conçu pour vous aider à identifier les paquets non sécurisés qui peuvent exister dans vos conteneurs.
Comprendre comment les systèmes sont vulnérables est une tâche laborieuse, surtout lorsqu’il s’agit de configurations hétérogènes et dynamiques. L’objectif est de permettre à tout développeur d’obtenir des renseignements sur son infrastructure de conteneurs. Plus encore, les équipes sont habilitées à chercher à agir et à appliquer un correctif aux vulnérabilités dès qu’elles apparaissent.
Comment Clair fonctionne
Clair analyse chaque couche de conteneur et fournit une notification des vulnérabilités qui peuvent constituer une menace, en se basant sur la base de données Common Vulnerabilities and Exposures (CVE) et des bases de données similaires de Red Hat, Ubuntu et Debian. Étant donné que les couches peuvent être partagées entre de nombreux conteneurs, l’introspection est vitale pour dresser un inventaire des paquets et le faire correspondre aux CVE connus.
La détection automatique des vulnérabilités permettra d’accroître la sensibilisation et les meilleures pratiques de sécurité au sein des équipes de développeurs et d’exploitation, et d’encourager les actions pour patcher et corriger les vulnérabilités. Lorsque de nouvelles vulnérabilités sont annoncées, Clair sait immédiatement, sans rescanner, quelles couches existantes sont vulnérables et des notifications sont envoyées.
Par exemple, CVE-2014-0160, alias « Heartbleed » est connu depuis plus de 18 mois, et pourtant Quay Scanning a constaté qu’il constitue toujours une menace potentielle pour 80 % des images Docker que les utilisateurs ont stockées sur Quay. Tout comme CoreOS Linux contient un outil de mise à jour automatique qui a patché Heartbleed au niveau de la couche OS, nous espérons que cet outil améliorera la sécurité de la couche conteneur, et contribuera à faire de CoreOS l’endroit le plus sûr pour exécuter des conteneurs.
Prenez note que les vulnérabilités reposent souvent sur des conditions particulières pour être exploitées. Par exemple, Heartbleed ne compte comme une menace que si le paquet vulnérable OpenSSL est installé et utilisé. Clair n’est pas adapté à ce niveau d’analyse et les équipes devraient tout de même entreprendre des analyses plus approfondies si nécessaire.
Démarrer
Pour en savoir plus, regardez ce talk présenté par Joey Schorr et Quentin Machu sur Clair. Et, voici les diapositives du talk.
Ce n’est que le début et nous attendons de plus en plus de développement. Les contributions et le soutien de la communauté sont les bienvenus – essayez-le dans Quay ou activez-le dans votre environnement de conteneurs et faites-nous savoir ce que vous en pensez.
L’équipe derrière Clair sera présente à la DockerCon EU à Barcelone, les 16 et 17 novembre. N’hésitez pas à vous arrêter au stand de Quay pour en savoir plus ou voir une démo de Clair ou de Quay Security Scanning.