Image default
Open Source

Clair: projeto open-source melhora a segurança de Docker containers

coreos_clair_schema
Origem imagem: Techcrunch

Containers oferecem aos usuários um jeito novo e otimizado para rodar aplicativos virtualizados em escala, mas e sobre a segurança? Qualquer usuário é capaz de derrubar o container de um aplicativo a partir de um repositório sem saber se a aplicação é segura. Um novo projeto open source do CoreOS chamado de Clair vem com o objetivo de resolver parte do problema, fornecendo um sistema de segurança que efetua uma varredura nas imagens dos containers em busca de vulnerabilidades conhecidas.

“Utilizando o Clair, fizemos uma varredura em milhares de imagens e encontramos um número surpreendente grande de imagens que continham versões mais antigas de alguns pacotes, como o OpenSSL, que possui vulnerabilidades bastante críticas”, diz Joseph Schorr, engenheiro de software chefe para a Quay no CoreOS.

A Quay, adquirida pelo CoreOS em agosto de 2014, oferece um serviço privado de repositório de container Docker e sua própria tecnologia de container Rocket. Também é membro da Open Container Initiative.

O projeto open-souce Clair é capaz de detectar vulnerabilidades conhecidas, mas não de detectar falhas zero-day. “O Clair não realiza uma análise ativa de código”, disse Schorr.

Acreditamos que o Clair é uma peça simples, mas importante do ponto de vista de segurança global para containers, e esperamos resolver estes problemas no futuro”, disse ele.

Como o Clair funciona?

Primeiramente ele verifica os pacotes de containers de aplicativos, bem como os metadados do sistema operacional em cada camada, disse Schorr. Em seguida, ele compara as versões dos pacotes com informações do banco de dados do CVE (Common Vulnerabilites and Exposures) das distribuições Linux que atualmente são suportadas, incluindo Red Hat, Debian e Ubuntu.

Todos os dados são representados em um banco de dados gráfico [Cayley] que é atualizado automaticamente quando novas informações do CVE estiverem disponíveis”, disse Schorr.

O uso de containers está crescendo, e existem vários esforços da indústria para fortalecer a sua segurança. No início desta semana, a Twistlock anunciou a disponibilidade de sua tecnologia para ajudar a limitar os riscos de containers maliciosos. Esta tecnologia, no entanto, é atualmente de código fechado.

O fato do Clair ser open source (código-fonte aberto) significa o ponto central para determinar as vulnerabilidades de um container”, disse Schorr. “Queremos trabalhar ativamente com a comunidade para contribuir com fontes adicionais”.

Como uma tecnologia open source, o Clair pode ser utilizado para ajudar os usuários a se protegerem contra os riscos do repositório público de imagens de containers do Docker Hub.

Uma vez que o Clair é open-source, é certament possível para qualquer indivíduo ou organização executar sua próproia instância, e via webhooks do Docker Hub, e copiar as imagens automaticamente para seus repositórios”, disse Schorr.

Embora o CoreOS também tenha ofertas comerciais, Schorr enfatizou que o próprio Clair permanecerá como open-source e livre.

A integração primária do Clair está em nosso container de registro de produto Quay, onde estará disponível para todos os repositórios, tanto em nossa opção hospedada [quay.io] e em breve em nossa opção empresarial [Quay Enterprise]”, disse ele.

Fonte: eWeek

Posts similares

Adicione um disco no VMware para redimensionar espaço utilizado por uma VM Linux

O Analista

Tails: uma distro Linux com foco no anonimato e privacidade

O Analista

Let’s Encrypt fornecerá certificado SSL/TLS gratuitamente

O Analista