Dzisiaj otwieramy nowy projekt o nazwie Clair, narzędzie do monitorowania bezpieczeństwa kontenerów. Clair jest opartym na API silnikiem analitycznym, który sprawdza kontenery warstwa po warstwie pod kątem znanych błędów bezpieczeństwa. Korzystając z Clair, można łatwo budować usługi, które zapewniają ciągłe monitorowanie podatności kontenerów na ataki. CoreOS wierzy, że narzędzia, które poprawiają bezpieczeństwo światowej infrastruktury powinny być dostępne dla wszystkich użytkowników i dostawców, dlatego udostępniliśmy ten projekt jako open source. W tym samym celu, z radością witamy Wasze opinie i wkład w projekt Clair.
Clair jest podstawą wersji beta Quay Security Scanning, nowej funkcji działającej teraz w Quay, która bada miliony kontenerów przechowywanych tam pod kątem luk w zabezpieczeniach. Użytkownicy Quay mogą zalogować się już dziś, aby zobaczyć informacje o Security Scanning w swoim dashboardzie, w tym listę potencjalnie podatnych na ataki kontenerów w swoich repozytoriach. Ogłoszenie dotyczące wersji beta Quay Security Scanning zawiera więcej szczegółów dla użytkowników Quay.
Why Create Clair: For Improved Security
Wrażliwości zawsze będą istnieć w świecie oprogramowania. Dobra praktyka bezpieczeństwa oznacza bycie przygotowanym na wpadki – identyfikowanie niezabezpieczonych pakietów i bycie przygotowanym na ich szybką aktualizację. Clair został zaprojektowany, aby pomóc ci zidentyfikować niepewne pakiety, które mogą istnieć w twoich kontenerach.
Zrozumienie, w jaki sposób systemy są podatne na ataki jest żmudnym zadaniem, szczególnie gdy mamy do czynienia z heterogenicznymi i dynamicznymi konfiguracjami. Celem jest umożliwienie każdemu programiście uzyskania informacji o infrastrukturze kontenerów. Co więcej, zespoły są upoważnione do podejmowania działań i stosowania poprawek do podatności w miarę ich pojawiania się.
Jak działa Clair
Clair skanuje każdą warstwę kontenera i dostarcza powiadomienia o podatnościach, które mogą stanowić zagrożenie, w oparciu o bazę danych Common Vulnerabilities and Exposures (CVE) i podobne bazy danych z Red Hat, Ubuntu i Debian. Ponieważ warstwy mogą być współdzielone przez wiele kontenerów, introspekcja jest niezbędna do stworzenia spisu pakietów i dopasowania ich do znanych CVE.
Automatyczne wykrywanie luk pomoże zwiększyć świadomość i najlepsze praktyki bezpieczeństwa w zespołach programistów i operacyjnych, a także zachęci do podejmowania działań w celu łatania i usuwania luk. Kiedy pojawiają się nowe luki, Clair od razu wie, bez ponownego skanowania, które istniejące warstwy są podatne na zagrożenia i wysyła powiadomienia.
Na przykład, CVE-2014-0160, znany jako „Heartbleed”, jest znany od ponad 18 miesięcy, ale skanowanie Quay odkryło, że nadal stanowi potencjalne zagrożenie dla 80 procent obrazów Docker przechowywanych przez użytkowników na Quay. Podobnie jak CoreOS Linux zawiera narzędzie do automatycznej aktualizacji, które załatało Heartbleed w warstwie systemu operacyjnego, mamy nadzieję, że to narzędzie poprawi bezpieczeństwo warstwy kontenerów i pomoże uczynić CoreOS najbezpieczniejszym miejscem do uruchamiania kontenerów.
Zwróć uwagę, że luki często zależą od określonych warunków, aby mogły zostać wykorzystane. Na przykład Heartbleed stanowi zagrożenie tylko wtedy, gdy podatny pakiet OpenSSL jest zainstalowany i używany. Clair nie nadaje się do tego poziomu analizy, a zespoły powinny nadal przeprowadzać głębsze analizy, jeśli jest to wymagane.
Zacznij
Aby dowiedzieć się więcej, obejrzyj wykład zaprezentowany przez Joey Schorr i Quentin Machu na temat Clair. A tutaj znajdują się slajdy z wykładu.
To dopiero początek i oczekujemy coraz większego rozwoju. Wkład i wsparcie społeczności jest mile widziane – wypróbuj go w Quay lub włącz go w swoim środowisku kontenerowym i daj nam znać, co myślisz.
Zespół stojący za Clair będzie obecny na DockerCon EU w Barcelonie, 16-17 listopada. Zatrzymaj się przy stoisku Quay, aby dowiedzieć się więcej lub zobaczyć demo Clair lub Quay Security Scanning.