今天我們開源了一個新的項目，Clair，這是一個用來對容器安全進行監(jiān)控的工具。Clair是個API驅(qū)動(API-Driven)的分析引擎，能逐層逐層地對已知的安全漏洞進行審查。你能輕松使用Clair構建出針對容器安全漏洞的持續(xù)監(jiān)控服務。CoreOS深信，那些能改善世界基礎設施的安全工具，值得所有的用戶和公司都擁有，所以我們將其開源。為了同樣的目標，我們期待大家對Clair項目的反饋和貢獻。

Quay的Security Scanning(安全掃描)功能beta版本的就是基于Clair做的。這個新功能目前運行在Quay上，可以對Quay平臺上存儲的數(shù)百萬計的容器的進行安全漏洞檢查?，F(xiàn)在，Quay用可以登錄后臺，在控制面板看到有關于Secure Scanning的信息，信息包含倉庫中可能有漏洞威脅的容器列表。Quay Security Scanning的beta發(fā)布公告里面有對于Quay用戶更詳細的信息。

Clair為何而生：提升安全

軟件世界里，安全漏洞會一直存在。好的安全實踐意味著要對可能出現(xiàn)的事故未雨綢繆 - 即盡早發(fā)現(xiàn)不安全的軟件包，并準備好快速進行升級。而Clair就是設計來幫助你找出容器中可能存在的不安全軟件包。

要理解系統(tǒng)會受到哪些威脅威脅是一個勞力傷神的事情，尤其當你應對的環(huán)境是異構或者動態(tài)的的時候。Clair的目標是讓任何開發(fā)者都能增強對容器基礎設施的洞見的能力。甚至于，讓團隊能在漏洞出現(xiàn)時，能夠找到方案并且修復漏洞。

Clair工作原理

Clair對每個容器layer進行掃描，并且對于那些可能成為威脅的漏洞發(fā)出預警。它的數(shù)據(jù)是基于Common Vulnerabilities and Exposures數(shù)據(jù)庫(常見的漏洞和風險數(shù)據(jù)庫，簡稱CVE)，和Red Hat，Ubuntu和Debian的類似數(shù)據(jù)庫。因為layer可以在很多的容器之間共享，審查至關重要，然后才能構建一個軟件包的大倉庫，并且與CVE數(shù)據(jù)庫進行比對。

漏洞的自動檢測能幫助提升對漏洞的認知，在開發(fā)及運維團隊里實施最佳安全實踐，和促使漏洞的修復并解決。當新的漏洞公布出來，所有已有的layer都會被重新掃描，并且發(fā)出相應的預警。

例如，CVE-2014-0160，又被稱作Heartbleed(心臟出血)，已經(jīng)聞名18個月了，然而Quay的Scanning發(fā)現(xiàn)對于Quay平臺上的近80%的用戶Docker鏡像它仍然其一個潛在的威脅。就如CoreOS 包含一個自動更新的工具，能在操作系統(tǒng)層修復Heartbleed一樣，我們希望這個工具能在容器的層面上，提升安全性，并且?guī)椭鶦oreOS成為運行容器的一個最安全的地方。

開始使用

你可以觀看Joey Schorr和Quentin Machu關于Clar的分享視頻 來了解更多內(nèi)容。分享中的用到的幻燈片也能幫到到你。

這只是一個開始，我們希望對其更多更多的開發(fā)。我們一直歡迎社區(qū)的貢獻和支持。你可以在Quay中試用Clair，或者在你自己的環(huán)境中啟用它，歡迎你講你的想法告訴我們。

Clair團隊將會參加在11月16-17在巴塞羅那的歐洲DockerCon。歡迎光臨Quay的展臺了解更多的細節(jié)，或者觀看Clair或者Quay Secure Scanning的演示demo。

原文鏈接：http://www.dockone.io/article/824