圖片來源: 

CoreOS

容器作業系統CoreOS公司釋出容器映像檔安全分析引擎Clair 1.0,並宣布可用在正式環境,Clair可用來監控容器(Container)的安全性,而正式版Clair不只能夠揭露漏洞的存在,也能提供可用的修補程式或更新來修復漏洞。另外,Clair 1.0也加強了效能和擴展性,讓開發者可以建置自己的Clair分析服務。

CoreOS在2015年11月推出開源計畫Clair測試版,Clair是CoreOS自家容器安全掃描服務Quay的核心分析引擎,提供API式的分析服務,透過比對公開漏洞資料庫CVE(Common Vulnerabilities and Exposures)的漏洞資料,並發送關於容器潛藏漏洞的有用和可操作資訊,來協助開發人員檢查每個容器中映像檔(Image)的潛在資安威脅或未修補漏洞。

而在正式版Clair中,CoreOS加強Clair 1.0的效能、可用性和彈性,在效能方面,提供了Postgres 9.4資料庫抽象層的操作介面,並利用遞迴查詢來模擬圖形結構,同時維持傳統SQL資料庫的效能,而這也促進了API在正式環境中的回應速度,CoreOS宣稱,API回應3個指令的時間從30秒加速到30毫秒就可以得到回應。

在新版Clair的可用性上,則提供開發者新的RESTful JSON API,與舊版API緊密結合容器儲存庫不同的是,新API可以協助使用者整合Clair與工作流程和系統。而在彈性方面,CoreOS則透過增加子系統來增加Clair使用上的彈性,包含了蒐集公開漏洞資料的抓取工具Fetcher、標出有漏洞的容器映像檔工具Detector、漏洞通知工具Notification Hook等,且支援Docker、ACI等映像檔格式。

此外,新版Clair還包含Feature功能,提供漏洞的名稱和版本,並且會修復存在的漏洞,也有如CVSS(Common Vulnerability Scoring System)的中繼資料(Metadata),可以提供漏洞的基本特徵資料,還有標誌(Flag)功能,則提供用戶在映像檔的特定層可以更容易更新漏洞修補程式。

另外,根據CoreOS分析Quay容器儲存庫(Container Registry)裡的容器發現,70%以上已知的漏洞可以透過更新容器映像檔的修補程式來修復,而80%以上的高風險(High)和重大(Critical)等級漏洞也可以透過更新映像檔的修補程式修復問題。CoreOS表示,許多常見的容器映像檔會因為年齡和大小而潛藏許多漏洞,CoreOS也呼籲使用者更新容器映像檔,以避免資安威脅。


熱門新聞

Advertisement