Vandaag openen we een nieuw project genaamd Clair, een tool om de veiligheid van je containers te monitoren. Clair is een API-gedreven analyse-engine die containers laag-voor-laag inspecteert op bekende beveiligingslekken. Met behulp van Clair kunt u eenvoudig diensten bouwen die continue monitoring bieden voor kwetsbaarheden in containers. CoreOS gelooft dat tools die de veiligheid van de infrastructuur van de wereld verbeteren beschikbaar moeten zijn voor alle gebruikers en verkopers, dus hebben we het project open source gemaakt. Met datzelfde doel verwelkomen we uw feedback en bijdragen aan het Clair-project.
Clair is de basis van de bètaversie van Quay Security Scanning, een nieuwe functie die nu op Quay draait om de miljoenen containers die daar zijn opgeslagen te onderzoeken op kwetsbaarheden in de beveiliging. Quay gebruikers kunnen vandaag inloggen om Security Scanning informatie te zien in hun dashboard, inclusief een lijst van mogelijk kwetsbare containers in hun repositories. De Quay Security Scanning beta aankondiging heeft meer details voor Quay gebruikers.
Waarom Clair aanmaken: Voor een betere beveiliging
Vulnerabilities zullen altijd bestaan in de wereld van software. Een goede beveiligingspraktijk betekent voorbereid zijn op de ongelukken – om onveilige pakketten te identificeren en voorbereid te zijn om ze snel te updaten. Clair is ontworpen om u te helpen bij het identificeren van onveilige pakketten die in uw containers kunnen bestaan.
Inzicht krijgen in hoe systemen kwetsbaar zijn is een moeizame taak, vooral wanneer u te maken heeft met heterogene en dynamische opstellingen. Het doel is om elke ontwikkelaar in staat te stellen informatie te verkrijgen over hun containerinfrastructuur. Sterker nog, teams worden in staat gesteld om actie te ondernemen en een oplossing toe te passen voor kwetsbaarheden wanneer deze zich voordoen.
Hoe Clair werkt
Clair scant elke containerlaag en geeft een melding van kwetsbaarheden die een bedreiging kunnen vormen, gebaseerd op de Common Vulnerabilities and Exposures database (CVE) en vergelijkbare databases van Red Hat, Ubuntu en Debian. Aangezien layers tussen veel containers kunnen worden gedeeld, is introspectie van vitaal belang om een inventaris van packages op te bouwen en die te matchen met bekende CVE’s.
Automatische detectie van kwetsbaarheden zal helpen het bewustzijn en de beste beveiligingspraktijken bij ontwikkelaars en operationele teams te vergroten, en actie te stimuleren om de kwetsbaarheden te patchen en aan te pakken. Wanneer nieuwe kwetsbaarheden worden aangekondigd, weet Clair meteen, zonder opnieuw te scannen, welke bestaande lagen kwetsbaar zijn en worden meldingen verzonden.
Zo is CVE-2014-0160, alias “Heartbleed” al meer dan 18 maanden bekend, maar toch ontdekte Quay Scanning dat het nog steeds een potentiële bedreiging is voor 80 procent van de Docker-images die gebruikers op Quay hebben opgeslagen. Net zoals CoreOS Linux een auto-update tool bevat die Heartbleed op de OS-laag heeft gepatcht, hopen we dat deze tool de beveiliging van de containerlaag zal verbeteren, en CoreOS de veiligste plek maakt om containers te draaien.
Merk op dat kwetsbaarheden vaak afhankelijk zijn van bepaalde voorwaarden om te kunnen worden uitgebuit. Heartbleed is bijvoorbeeld alleen een bedreiging als het kwetsbare OpenSSL-pakket is geïnstalleerd en wordt gebruikt. Clair is niet geschikt voor dat niveau van analyse en teams moeten nog steeds diepere analyses uitvoeren als dat nodig is.
Get Started
Om meer te weten te komen, bekijk deze toespraak gepresenteerd door Joey Schorr en Quentin Machu over Clair. En, hier zijn de slides van de lezing.
Dit is nog maar het begin en we verwachten meer en meer ontwikkeling. Bijdragen en ondersteuning vanuit de community zijn welkom – probeer het uit in Quay of activeer het in je container omgeving en laat ons weten wat je ervan vindt.
Het team achter Clair zal aanwezig zijn op DockerCon EU in Barcelona, 16-17 november. Kom langs bij de Quay stand voor meer informatie of een demo van Clair of Quay Security Scanning.