今天我們開源了一個新的項(xiàng)目，Clair，這是一個用來對容器安全進(jìn)行監(jiān)控的工具。Clair是個API驅(qū)動(API-Driven)的分析引擎，能逐層逐層地對已知的安全漏洞進(jìn)行審查。你能輕松使用Clair構(gòu)建出針對容器安全漏洞的持續(xù)監(jiān)控服務(wù)。CoreOS深信，那些能改善世界基礎(chǔ)設(shè)施的安全工具，值得所有的用戶和公司都擁有，所以我們將其開源。為了同樣的目標(biāo)，我們期待大家對Clair項(xiàng)目的反饋和貢獻(xiàn)。

Quay的Security Scanning(安全掃描)功能beta版本的就是基于Clair做的。這個新功能目前運(yùn)行在Quay上，可以對Quay平臺上存儲的數(shù)百萬計的容器的進(jìn)行安全漏洞檢查。現(xiàn)在，Quay用可以登錄后臺，在控制面板看到有關(guān)于Secure Scanning的信息，信息包含倉庫中可能有漏洞威脅的容器列表。Quay Security Scanning的beta發(fā)布公告里面有對于Quay用戶更詳細(xì)的信息。

Clair為何而生：提升安全

軟件世界里，安全漏洞會一直存在。好的安全實(shí)踐意味著要對可能出現(xiàn)的事故未雨綢繆 - 即盡早發(fā)現(xiàn)不安全的軟件包，并準(zhǔn)備好快速進(jìn)行升級。而Clair就是設(shè)計來幫助你找出容器中可能存在的不安全軟件包。

要理解系統(tǒng)會受到哪些威脅威脅是一個勞力傷神的事情，尤其當(dāng)你應(yīng)對的環(huán)境是異構(gòu)或者動態(tài)的的時候。Clair的目標(biāo)是讓任何開發(fā)者都能增強(qiáng)對容器基礎(chǔ)設(shè)施的洞見的能力。甚至于，讓團(tuán)隊能在漏洞出現(xiàn)時，能夠找到方案并且修復(fù)漏洞。

Clair工作原理

Clair對每個容器layer進(jìn)行掃描，并且對于那些可能成為威脅的漏洞發(fā)出預(yù)警。它的數(shù)據(jù)是基于Common Vulnerabilities and Exposures數(shù)據(jù)庫(常見的漏洞和風(fēng)險數(shù)據(jù)庫，簡稱CVE)，和Red Hat，Ubuntu和Debian的類似數(shù)據(jù)庫。因?yàn)閘ayer可以在很多的容器之間共享，審查至關(guān)重要，然后才能構(gòu)建一個軟件包的大倉庫，并且與CVE數(shù)據(jù)庫進(jìn)行比對。

漏洞的自動檢測能幫助提升對漏洞的認(rèn)知，在開發(fā)及運(yùn)維團(tuán)隊里實(shí)施最佳安全實(shí)踐，和促使漏洞的修復(fù)并解決。當(dāng)新的漏洞公布出來，所有已有的layer都會被重新掃描，并且發(fā)出相應(yīng)的預(yù)警。

例如，CVE-2014-0160，又被稱作Heartbleed(心臟出血)，已經(jīng)聞名18個月了，然而Quay的Scanning發(fā)現(xiàn)對于Quay平臺上的近80%的用戶Docker鏡像它仍然其一個潛在的威脅。就如CoreOS 包含一個自動更新的工具，能在操作系統(tǒng)層修復(fù)Heartbleed一樣，我們希望這個工具能在容器的層面上，提升安全性，并且?guī)椭鶦oreOS成為運(yùn)行容器的一個最安全的地方。

開始使用

你可以觀看Joey Schorr和Quentin Machu關(guān)于Clar的分享視頻 來了解更多內(nèi)容。分享中的用到的幻燈片也能幫到到你。

這只是一個開始，我們希望對其更多更多的開發(fā)。我們一直歡迎社區(qū)的貢獻(xiàn)和支持。你可以在Quay中試用Clair，或者在你自己的環(huán)境中啟用它，歡迎你講你的想法告訴我們。

Clair團(tuán)隊將會參加在11月16-17在巴塞羅那的歐洲D(zhuǎn)ockerCon。歡迎光臨Quay的展臺了解更多的細(xì)節(jié)，或者觀看Clair或者Quay Secure Scanning的演示demo。

原文鏈接：http://www.dockone.io/article/824