Astăzi deschidem un nou proiect numit Clair, un instrument de monitorizare a securității containerelor dumneavoastră. Clair este un motor de analiză bazat pe API-uri care inspectează containerele strat cu strat pentru defecte de securitate cunoscute. Folosind Clair, puteți construi cu ușurință servicii care să ofere o monitorizare continuă a vulnerabilităților containerelor. CoreOS consideră că instrumentele care îmbunătățesc securitatea infrastructurii mondiale ar trebui să fie disponibile pentru toți utilizatorii și vânzătorii, așa că am făcut proiectul open source. Cu același scop, salutăm feedback-ul și contribuțiile dvs. la proiectul Clair.
Clair este baza versiunii beta a Quay Security Scanning, o nouă funcție care rulează acum pe Quay pentru a examina milioanele de containere stocate acolo pentru vulnerabilități de securitate. Utilizatorii Quay se pot conecta astăzi pentru a vedea informații despre Security Scanning în tabloul lor de bord, inclusiv o listă a containerelor potențial vulnerabile din depozitele lor. Anunțul Quay Security Scanning beta conține mai multe detalii pentru utilizatorii Quay.
De ce să creăm Clair: Pentru o securitate îmbunătățită
Vulnerabilitățile vor exista întotdeauna în lumea software-ului. Bunele practici de securitate înseamnă să fii pregătit pentru incidente – să identifici pachetele nesigure și să fii pregătit să le actualizezi rapid. Clair este conceput pentru a vă ajuta să identificați pachetele nesigure care ar putea exista în containerele dumneavoastră.
Înțelegerea modului în care sistemele sunt vulnerabile este o sarcină laborioasă, mai ales atunci când aveți de-a face cu configurații eterogene și dinamice. Scopul este de a permite oricărui dezvoltator să obțină informații despre infrastructura containerelor sale. Chiar mai mult, echipele sunt împuternicite să caute măsuri și să aplice o remediere a vulnerabilităților pe măsură ce acestea apar.
Cum funcționează Clair
Clair scanează fiecare strat de containere și oferă o notificare a vulnerabilităților care pot reprezenta o amenințare, pe baza bazei de date Common Vulnerabilities and Exposures (CVE) și a bazelor de date similare de la Red Hat, Ubuntu și Debian. Având în vedere că straturile pot fi partajate între mai multe containere, introspecția este vitală pentru a construi un inventar al pachetelor și pentru a le compara cu CVE-urile cunoscute.
Detectarea automată a vulnerabilităților va contribui la creșterea gradului de conștientizare și a celor mai bune practici de securitate în cadrul echipelor de dezvoltare și de operațiuni și va încuraja luarea de măsuri pentru a remedia și soluționa vulnerabilitățile. Atunci când sunt anunțate noi vulnerabilități, Clair știe imediat, fără a efectua o nouă scanare, ce straturi existente sunt vulnerabile și sunt trimise notificări.
De exemplu, CVE-2014-0160, cunoscut și sub numele de „Heartbleed”, este cunoscut de peste 18 luni, dar Quay Scanning a constatat că este încă o amenințare potențială pentru 80 la sută dintre imaginile Docker pe care utilizatorii le-au stocat pe Quay. La fel cum CoreOS Linux conține un instrument de actualizare automată care a corectat Heartbleed la nivelul sistemului de operare, sperăm că acest instrument va îmbunătăți securitatea nivelului de containere și va contribui la a face din CoreOS cel mai sigur loc pentru a rula containere.
Rețineți că vulnerabilitățile se bazează adesea pe anumite condiții pentru a fi exploatate. De exemplu, Heartbleed contează ca amenințare doar dacă pachetul OpenSSL vulnerabil este instalat și este utilizat. Clair nu este potrivit pentru acest nivel de analiză și echipele ar trebui totuși să întreprindă analize mai profunde, după cum este necesar.
Pentru a începe
Pentru a afla mai multe, urmăriți această discuție prezentată de Joey Schorr și Quentin Machu despre Clair. Și, iată diapozitivele discuției.
Acesta este doar începutul și ne așteptăm la o dezvoltare din ce în ce mai mare. Contribuțiile și sprijinul din partea comunității sunt binevenite – încercați-l în Quay sau activați-l în mediul dumneavoastră de containere și anunțați-ne ce părere aveți.
Echipa din spatele lui Clair va fi prezentă la DockerCon EU din Barcelona, 16-17 noiembrie. Vă rugăm să treceți pe la standul Quay pentru a afla mai multe sau pentru a vedea o demonstrație a lui Clair sau Quay Security Scanning.
.