Clair，CoreOS發布的開源容器漏洞分析工具

今天我們開源了一個新的項目， Clair ，這是一個用來對容器安全進行監控的工具。Clair是個API驅動（API-Driven）的分析引擎，能逐層逐層地對已知的安全漏洞進行審查。你能輕松使用Clair構建出針對容器安全漏洞的持續監控服務。CoreOS深信，那些能改善世界基礎設施的安全工具，值得所有的用戶和公司都擁有，所以我們將其開源。為了同樣的目標，我們期待大家對Clair項目的反饋和貢獻。

Quay的Security Scanning（安全掃描）功能beta版本的就是基于Clair做的。這個新功能目前運行在Quay上，可以對Quay平臺上存儲的數百萬計的容器的進行安全漏洞檢查。現在，Quay用可以登錄后臺，在控制面板看到有關于Secure Scanning的信息，信息包含倉庫中可能有漏洞威脅的容器列表。 Quay Security Scanning的beta發布公告 里面有對于Quay用戶更詳細的信息。

Clair為何而生：提升安全

軟件世界里，安全漏洞會一直存在。好的安全實踐意味著要對可能出現的事故未雨綢繆 - 即盡早發現不安全的軟件包，并準備好快速進行升級。而Clair就是設計來幫助你找出容器中可能存在的不安全軟件包。

要理解系統會受到哪些威脅威脅是一個勞力傷神的事情，尤其當你應對的環境是異構或者動態的的時候。Clair的目標是讓任何開發者都能增強對容器基礎設施的洞見的能力。甚至于，讓團隊能在漏洞出現時，能夠找到方案并且修復漏洞。

Clair工作原理

Clair對每個容器layer進行掃描，并且對于那些可能成為威脅的漏洞發出預警。它的數據是基于 Common Vulnerabilities and Exposures數據庫(常見的漏洞和風險數據庫，簡稱CVE) ，和Red Hat，Ubuntu和Debian的類似數據庫。因為layer可以在很多的容器之間共享，審查至關重要，然后才能構建一個軟件包的大倉庫，并且與CVE數據庫進行比對。

漏洞的自動檢測能幫助提升對漏洞的認知，在開發及運維團隊里實施最佳安全實踐，和促使漏洞的修復并解決。當新的漏洞公布出來，所有已有的layer都會被重新掃描，并且發出相應的預警。

例如， CVE-2014-0160，又被稱作Heartbleed（心臟出血） ，已經聞名18個月了，然而Quay的Scanning發現對于Quay平臺上的近80%的用戶Docker鏡像它仍然其一個潛在的威脅。就如 CoreOS包含一個自動更新的工具，能在操作系統層修復Heartbleed一樣，我們希望這個工具能在容器的層面上，提升安全性，并且幫助 CoreOS成為運行容器的一個最安全的地方。

開始使用

你可以觀看 Joey Schorr和Quentin Machu關于Clar的分享視頻 來了解更多內容。分享中的用到的 幻燈片 也能幫到到你。

這只是一個開始，我們希望對其更多更多的開發。我們一直歡迎社區的貢獻和支持。你可以 在Quay中試用Clair ，或者在你自己的環境中啟用它，歡迎你講你的想法告訴我們。

Clair團隊將會參加在11月16-17在巴塞羅那的歐洲DockerCon。歡迎光臨Quay的展臺了解更多的細節，或者觀看Clair或者Quay Secure Scanning的演示demo。

（原文鏈接： https://coreos.com/blog/vulner ... ners/ ，翻譯：鐘最龍）