Clair CoreOS membuat container lebih aman

Sebagai teknologi container tumbuh dalam popularitas,  keamanan menjadi isu penting. Sekarang tim Core OS telah meluncurkan sebuah proyek open source yang disebut Clair CoreOS, sebuah layanan analisis API-driven  yang memeriksa gambar container untuk kelemahan keamanan dikenal. Pengembang dapat menggunakannya untuk membangun layanan yang memindai container untuk ancaman keamanan dan kerentanan. Clair bertujuan agar container menjadi lebih aman.

Quentin Machu seorang insinyur perangkat lunak di CoreOS menjelaskan pada perusahaan blog "Clair memindai setiap lapisan kontainer dan memberikan pemberitahuan dari kerentanan yang mungkin menjadi ancaman, berdasarkan Common kerentanan dan Eksposur basis data ( CVE ) dan database yang sama dari Red Hat, Ubuntu, dan Debian. Sejak lapisan dapat dibagi antara banyak container, introspeksi sangat penting untuk membangun inventaris paket dan sesuai dengan yang melawan CVEs diketahui".

clair-coreos

Hal ini memungkinkan Clair tahu tentang kerentanan baru dan DevOps akan diberitahu segera.

Core OS host pribadi kontainer registry Quay  akan menggabungkan Clair sebagai fitur. Joey Schorr seorang insinyur perangkat lunak onthe tim Quay, menulis dalam sebuah posting blog, " Dalam prakteknya, setiap kali gambar didorong ke Quay, sistem analisis akan memeriksa kerentanan, bendera itu dalam antarmuka dan mengirim pemberitahuan. Ini akan mencakup tingkat kerentanan - tinggi, sedang atau rendah dengan deskripsi dan paket yang diinstal. Sebuah link disertakan untuk informasi kerentanan sumber yang umumnya mencakup langkah-langkah yang diperlukan untuk menambal kerentanan".

Dalam tes Quay Keamanan Scanning (QSS) menemukan bahwa lebih dari 80% dari kerentanan dinilai tinggi dan kritis telah dikenal perbaikan yang dapat diterapkan dengan update sederhana untuk paket di gambar ini. Salah satu contohnya adalah Heartbleed, yang menurut QSS masih merupakan ancaman potensial untuk 80 persen dari gambar Docker pengguna telah disimpan pada Quay. Meskipun Core OS Linux dilengkapi dengan alat auto-update patch kerentanan seperti Heartbleed pada lapisan OS, kontainer masih kekurangan tindakan tersebut.

CoreOS manajer produk Jake Moshenko mengatakan kepada saya melalui email bahwa "Clair bertanggung jawab untuk menemukan kerentanan dalam gambar wadah deployable sebelum mereka didistribusikan dan dijalankan sebagai wadah. Ini memanfaatkan kerja keras vendor OS yang telah melakukan untuk melacak dan Patch eksploitasi".

Clair bagaimanapun bukan satu-satunya solusi di pasar. Jadi ketika ada pertanyaan bagaimana Clair membedakan dirinya dari yang lain, Moshenko mengatakan bahwa "salah satu cara utama Clair yang unik adalah bahwa dengan menjadi open source dan dibangun di atas teknologi open source, Clair dapat digunakan di lokal.pembeda utama lain antara Clair dan solusi lainnya adalah bahwa kita semua indeks di depan dan hanya referensi gambar mereka saat mengidentifikasi kerentanan. Ini berarti bahwa kita dapat terus mencari dan memberitahu pengguna tentang masalah tanpa re-run atau re-analys gambar".

Leave a Reply

Your email address will not be published. Required fields are marked *