Большинство пользователей не знает, существуют ли уязвимые компоненты в контейнерах; Клер поможет решить часть той проблемы.Контейнеры предлагают пользователям новый более оптимизированный способ запустить виртуализированные приложения в масштабе, но что относительно безопасности? Любой пользователь может выпадающий приложение-контейнер от репозитория образов, не зная, безопасно ли приложение.
Новый проект с открытым исходным кодом от CoreOS по имени Клер стремится решать часть проблемы, обеспечивая систему безопасности, которая сканирует изображения контейнеров для известных уязвимостей.Как это оказывается, уязвимости в контейнерных изображениях широко распространены, по крайней мере согласно одной мере.
«Используя Клера, мы в настоящее время сканировали миллионы изображений в нашем реестре и находили, что удивительно большое количество изображений содержало более старые версии пакетов, такие как OpenSSL, которые содержат критические уязвимости», Джозеф Шорр, приведите разработчика программного обеспечения для Причала в CoreOS, сказал eWEEK.Причал, который CoreOS, приобретенный в августе 2014 и, пристраивал с тех пор, обеспечивает частную службу репозитория контейнера Докера. CoreOS является одним из ведущих поставщиков в находящейся на стадии становления контейнерной экосистеме, поддерживая и Докера и ее собственную технологию контейнера Ракеты.
Это – также член-учредитель Открыть Container Initiative.В то время как новый проект открытого исходного кода Клера в состоянии обнаружить известные уязвимости, он не может обнаружить проблемы нулевого дня. Клер не выполняет активный анализ кода, сказал Шорр.
«Мы полагаем, что Клер является единственной, но важной частью полной стратегии безопасности контейнеров, и мы надеемся решить эти другие проблемы в будущем», сказал он.Путем Клер работает, это сначала сканирует пакеты контейнера приложения и метаданные операционной системы в каждом уровне, сказал Шорр.
Это тогда сравнивает версии тех пакетов против известных Общих Уязвимостей и Воздействий (CVE) базы данных уязвимости дистрибутивов Linux, которые в настоящее время поддерживаются, которые включают Red Hat, Debian и Ubuntu.«Все данные представлены в базе данных графика [Кэли] и обновляются автоматически, поскольку новая информация CVE становится доступной», сказал Шорр.Контейнерное использование растет, и существуют многократные усилия в отрасли, чтобы помочь защитить контейнеры. Ранее на этой неделе Поворотный замок объявил об общедоступности своей технологии для помощи ограничить риски от злонамеренных контейнеров.
Технология поворотного замка, однако, является в настоящее время закрытым исходным кодом.«Открытая природа Клера означает, что это – центральный источник для определения уязвимостей контейнера», сказал Шорр. «Мы хотим активно работать с сообществом для вклада дополнительных источников».
Как технология с открытым исходным кодом, Клер может также потенциально использоваться, чтобы помочь пользователям защитить себя от рисков от общедоступного репозитория Концентратора Докера контейнерных изображений.«Так как Клер является открытым исходным кодом, для любого частного лица или организации, конечно, возможно выполнить их собственный экземпляр и, через webhooks Концентратора Докера, иметь его изображения сканирования автоматически для их репозиториев», сказал Шорр.В то время как CoreOS также имеет коммерческие предложения, Шорр подчеркнул, что Клер сам останется открытым исходным кодом и свободный.«Основная интеграция Клера находится в нашем контейнерном Причале продукта реестра, где это будет доступно для всех репозиториев, и в нашей размещенной опции [quay.io] и скоро в нашей опции предприятия [Quay Enterprise]», сказал он.
Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.