Clair:CoreOS发布的开源容器漏洞分析工具
2017-06-08 00:03
134 查看
Clair为何而生:提升安全
软件世界里,安全漏洞会一直存在。好的安全实践意味着要对可能出现的事故未雨绸缪 - 即尽早发现不安全的软件包,并准备好快速进行升级。而Clair就是设计来帮助你找出容器中可能存在的不安全软件包。要理解系统会受到哪些威胁威胁是一个劳力伤神的事情,尤其当你应对的环境是异构或者动态的的时候。Clair的目标是让任何开发者都能增强对容器基础设施的洞见的能力。甚至于,让团队能在漏洞出现时,能够找到方案并且修复漏洞。
Clair工作原理
Clair对每个容器layer进行扫描,并且对于那些可能成为威胁的漏洞发出预警。它的数据是基于Common Vulnerabilities and Exposures数据库(常见的漏洞和风险数据库,简称CVE),和Red Hat,Ubuntu和Debian的类似数据库。因为layer可以在很多的容器之间共享,审查至关重要,然后才能构建一个软件包的大仓库,并且与CVE数据库进行比对。漏洞的自动检测能帮助提升对漏洞的认知,在开发及运维团队里实施最佳安全实践,和促使漏洞的修复并解决。当新的漏洞公布出来,所有已有的layer都会被重新扫描,并且发出相应的预警。
例如,CVE-2014-0160,又被称作Heartbleed(心脏出血),已经闻名18个月了,然而Quay的Scanning发现对于Quay平台上的近80%的用户Docker镜像它仍然其一个潜在的威胁。就如CoreOS包含一个自动更新的工具,能在操作系统层修复Heartbleed一样,我们希望这个工具能在容器的层面上,提升安全性,并且帮助CoreOS成为运行容器的一个最安全的地方。
相关文章推荐
- Azul发布开源工具jHiccup,为Java提供运行时响应时间分析
- 惠普发布开源分析工具
- Azul发布开源工具jHiccup,为Java提供运行时响应时间分析
- 开源广告发布系统源代码发布及分析一 发布系统流程图
- 开源广告发布系统源代码发布及分析二 广告发布系统需求分析
- 开源Java加密工具Jasypt 1.4发布
- 开源可视化 Python 性能调优工具 VPT 发布
- 脚本分析、压缩、混淆工具 JSA新版本发布,压缩效率提高大约10%
- 开源项目管理工具禅道ZenTaoPMS发布0.6 beta版本
- dedecms tag.php注入漏洞分析与利用工具
- jManage 0.5.0发布-又一个开源的JMX管理工具
- 开源项目管理软件(scrum管理工具)禅道发布1.0 rc1版本
- Google发布开源的搜索引擎开发工具
- ubuntu - linux开源 网络包分析工具 Wireshark
- PHP_CLI版数据库挂马检查工具1.0(开源发布)
- 开源的C++静态分析工具
- 发布一个高效的JavaScript分析、压缩工具 JavaScript Analyser
- 发布一个EMF图像文件查看分析工具
- 发布一个高效的JavaScript分析、压缩工具 JavaScript Analyser
- 发布一个自己开发的性能分析小工具NPerformance(beta),大家来给点意见哈