I dag öppnar vi ett nytt projekt som heter Clair, ett verktyg för att övervaka säkerheten i dina containrar. Clair är en API-driven analysmotor som inspekterar containrar lager för lager efter kända säkerhetsbrister. Med Clair kan du enkelt bygga tjänster som ger kontinuerlig övervakning av containersårbarheter. CoreOS anser att verktyg som förbättrar säkerheten i världens infrastruktur bör vara tillgängliga för alla användare och leverantörer, så vi har gjort projektet öppen källkod. Med samma syfte välkomnar vi din feedback och dina bidrag till Clair-projektet.
Clair är grunden för betaversionen av Quay Security Scanning, en ny funktion som nu körs på Quay för att undersöka de miljontals containrar som lagras där efter säkerhetssårbarheter. Quay-användare kan logga in idag för att se information om Security Scanning i sin instrumentpanel, inklusive en lista över potentiellt sårbara behållare i deras förvaringsutrymmen. I tillkännagivandet om betaversionen av Quay Security Scanning finns mer information för Quay-användare.
Varför skapa Clair: För förbättrad säkerhet
Sårbarheter kommer alltid att finnas i programvaruvärlden. God säkerhetspraxis innebär att vara beredd på missöden – att identifiera osäkra paket och vara beredd att uppdatera dem snabbt. Clair är utformad för att hjälpa dig att identifiera osäkra paket som kan finnas i dina behållare.
Att förstå hur system är sårbara är en mödosam uppgift, särskilt när det gäller heterogena och dynamiska konfigurationer. Målet är att ge alla utvecklare möjlighet att få information om sin containerinfrastruktur. Ännu mer, team har möjlighet att vidta åtgärder och tillämpa en korrigering av sårbarheter när de uppstår.
Hur Clair fungerar
Clair skannar varje containerlager och ger ett meddelande om sårbarheter som kan utgöra ett hot, baserat på Common Vulnerabilities and Exposures-databasen (CVE) och liknande databaser från Red Hat, Ubuntu och Debian. Eftersom lagren kan delas mellan många behållare är introspektion avgörande för att bygga upp en inventering av paket och matcha den mot kända CVEs.
Automatisk upptäckt av sårbarheter kommer att bidra till att öka medvetenheten och de bästa säkerhetsrutinerna i utvecklar- och driftsteam, och uppmuntra till åtgärder för att lappa och åtgärda sårbarheterna. När nya sårbarheter tillkännages vet Clair direkt, utan att skanna om, vilka befintliga lager som är sårbara och meddelanden skickas.
Till exempel har CVE-2014-0160, även kallad ”Heartbleed”, varit känd i över 18 månader, men Quay Scanning fann att den fortfarande är ett potentiellt hot mot 80 procent av de Docker-avbildningar som användare har lagrat på Quay. Precis som CoreOS Linux innehåller ett verktyg för automatisk uppdatering som lappade Heartbleed i operativsystemsskiktet, hoppas vi att det här verktyget kommer att förbättra säkerheten i containerskiktet och bidra till att göra CoreOS till den säkraste platsen för att köra containrar.
Tänk på att sårbarheter ofta är beroende av särskilda förhållanden för att kunna utnyttjas. Heartbleed är till exempel bara ett hot om det sårbara OpenSSL-paketet är installerat och används. Clair lämpar sig inte för den analysnivån och team bör ändå genomföra djupare analyser vid behov.
Sätt igång
Om du vill veta mer kan du titta på det här föredraget om Clair som presenterades av Joey Schorr och Quentin Machu. Här finns också bildspel från föredraget.
Detta är bara början och vi förväntar oss mer och mer utveckling. Bidrag och stöd från samhället välkomnas – prova det i Quay eller aktivera det i din containermiljö och låt oss veta vad du tycker.
Teamet bakom Clair kommer att vara på DockerCon EU i Barcelona den 16-17 november. Kom gärna förbi Quay-montern för att få veta mer eller se en demonstration av Clair eller Quay Security Scanning.