CoreOS釋出容器漏洞掃描工具Clair正式版，可提供和更新漏洞

william77

CoreOS在4個月前推出容器映像檔安全分析引擎Clair測試版，現在宣布Clair也可以在正式環境下執行，新版Clair加強了效能、可用性和彈性，並能提供開發者可用的修補程式來修復漏洞。

容器作業系統CoreOS公司釋出容器映像檔安全分析引擎Clair 1.0，並宣布可用在正式環境，Clair可用來監控容器（Container）的安全性，而正式版Clair不只能夠揭露漏洞的存在，也能提供可用的修補程式或更新來修復漏洞。另外，Clair 1.0也加強了效能和擴展性，讓開發者可以建置自己的Clair分析服務。
CoreOS在2015年11月推出開源計畫Clair測試版，Clair是CoreOS自家容器安全掃描服務Quay的核心分析引擎，提供API式的分析服務，透過比對公開漏洞資料庫CVE（Common Vulnerabilities and Exposures）的漏洞資料，並發送關於容器潛藏漏洞的有用和可操作資訊，來協助開發人員檢查每個容器中映像檔（Image）的潛在資安威脅或未修補漏洞。
而在正式版Clair中，CoreOS加強Clair 1.0的效能、可用性和彈性，在效能方面，提供了Postgres 9.4資料庫抽象層的操作介面，並利用遞迴查詢來模擬圖形結構，同時維持傳統SQL資料庫的效能，而這也促進了API在正式環境中的回應速度，CoreOS宣稱，API回應3個指令的時間從30秒加速到30毫秒就可以得到回應。
在新版Clair的可用性上，則提供開發者新的RESTful JSON API，與舊版API緊密結合容器儲存庫不同的是，新API可以協助使用者整合Clair與工作流程和系統。而在彈性方面，CoreOS則透過增加子系統來增加Clair使用上的彈性，包含了蒐集公開漏洞資料的抓取工具Fetcher、標出有漏洞的容器映像檔工具Detector、漏洞通知工具Notification Hook等，且支援Docker、ACI等映像檔格式。
此外，新版Clair還包含Feature功能，提供漏洞的名稱和版本，並且會修復存在的漏洞，也有如CVSS（Common Vulnerability Scoring System）的中繼資料（Metadata），可以提供漏洞的基本特徵資料，還有標誌（Flag）功能，則提供用戶在映像檔的特定層可以更容易更新漏洞修補程式。
另外，根據CoreOS分析Quay容器儲存庫（Container Registry）裡的容器發現，70％以上已知的漏洞可以透過更新容器映像檔的修補程式來修復，而80％以上的高風險（High）和重大（Critical）等級漏洞也可以透過更新映像檔的修補程式修復問題。CoreOS表示，許多常見的容器映像檔會因為年齡和大小而潛藏許多漏洞，CoreOS也呼籲使用者更新容器映像檔，以避免資安威脅。

duxiongguang

来看下