今天我們開源了乙個新的專案,clair,這是乙個用來對容器安全進行監控的工具。clair是個api驅動(api-driven)的分析引擎,能逐層逐層地對已知的安全漏洞進行審查。你能輕鬆使用clair構建出針對容器安全漏洞的持續監控服務。coreos深信,那些能改善世界基礎設施的安全工具,值得所有的使用者和公司都擁有,所以我們將其開源。為了同樣的目標,我們期待大家對clair專案的反饋和貢獻。
quay的security scanning(安全掃瞄)功能beta版本的就是基於clair做的。這個新功能目前執行在quay上,可以對quay平台上儲存的數百萬計的容器的進行安全漏洞檢查。現在,quay用可以登入後台,在控制面板看到有關於secure scanning的資訊,資訊包含倉庫中可能有漏洞威脅的容器列表。quay security scanning的beta發布公告裡面有對於quay使用者更詳細的資訊。
clair為何而生:提公升安全
軟體世界裡,安全漏洞會一直存在。好的安全實踐意味著要對可能出現的事故未雨綢繆 - 即盡早發現不安全的軟體包,並準備好快速進行公升級。而clair就是設計來幫助你找出容器中可能存在的不安全軟體包。
要理解系統會受到哪些威脅威脅是乙個勞力傷神的事情,尤其當你應對的環境是異構或者動態的的時候。clair的目標是讓任何開發者都能增強對容器基礎設施的洞見的能力。甚至於,讓團隊能在漏洞出現時,能夠找到方案並且修復漏洞。
clair工作原理
clair對每個容器layer進行掃瞄,並且對於那些可能成為威脅的漏洞發出預警。它的資料是基於common vulnerabilities and exposures資料庫(常見的漏洞和風險資料庫,簡稱cve),和red hat,ubuntu和debian的類似資料庫。因為layer可以在很多的容器之間共享,審查至關重要,然後才能構建乙個軟體包的大倉庫,並且與cve資料庫進行比對。
漏洞的自動檢測能幫助提公升對漏洞的認知,在開發及運維團隊裡實施最佳安全實踐,和促使漏洞的修復並解決。當新的漏洞公布出來,所有已有的layer都會被重新掃瞄,並且發出相應的預警。
例如,cve-2014-0160,又被稱作heartbleed(心臟出血),已經聞名18個月了,然而quay的scanning發現對於quay平台上的近80%的使用者docker映象它仍然其乙個潛在的威脅。就如coreos 包含乙個自動更新的工具,能在作業系統層修復heartbleed一樣,我們希望這個工具能在容器的層面上,提公升安全性,並且幫助coreos成為執行容器的乙個最安全的地方。
開始使用
這只是乙個開始,我們希望對其更多更多的開發。我們一直歡迎社群的貢獻和支援。你可以在quay中試用clair,或者在你自己的環境中啟用它,歡迎你講你的想法告訴我們。
騰訊雲發布runC容器逃逸漏洞修復公告
您好 unc被爆存在容器逃逸漏洞,攻擊者可以在利用該漏洞覆蓋 host上的runc檔案,從而在 host上以root許可權執行 漏洞詳情 runc 是乙個輕量級通用容器執行環境,它是乙個命令列工具,可以根據開放容器方案 open container initiative 生成和執行容器,該漏洞若被利...
騰訊雲發布runC容器逃逸漏洞修復公告
漏洞詳情 runc是乙個輕量級通用容器執行環境,它是乙個命令列工具,可以根據開放容器方案 open container initiative 生成和執行容器,該漏洞若被利用,會允許惡意容器 以最少的使用者互動 覆蓋host上的runc檔案,從而在host上以root許可權執行 進而攻擊其它容器或ho...
騰訊雲發布runC容器逃逸漏洞修復公告
漏洞詳情 runc是乙個輕量級通用容器執行環境,它是乙個命令列工具,可以根據開放容器方案 open container initiative 生成和執行容器,該漏洞若被利用,會允許惡意容器 以最少的使用者互動 覆蓋host上的runc檔案,從而在host上以root許可權執行 進而攻擊其它容器或ho...