The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Проект CoreOS представил Clair, инструмент для оценки уязвимостей в контейнерах

15.11.2015 08:19

Проект CoreOS, развивающий серверное окружение, основанное на идеях контейнерной изоляции, открыл исходные тексты нового инструмента Clair, выполняющего работу по сканированию начинки контейнеров и выявлению неисправленных уязвимостей. В качестве источника данных используется база CVE (Common Vulnerabilities and Exposures) и информация об исправлении уязвимостей в дистрибутивах Red Hat Enterprise Linux, Ubuntu и Debian. Исходные тексты написаны на языке Go и доступны под лицензией Apache 2.0.

В результате работы создаются отчёты, содержащие предупреждения о наличии проблем и учитывающие возможное совместное использование общих базовых наборов пакетов между контейнерами. Clair также может использоваться для организации отправки администраторам уведомлений о появлении новых уязвимостей, затрагивающих начинку ранее проверенных контейнеров. Clair не требует запуска программы-агента на стороне контейнера или внесения каких-либо изменений в конфигурацию. Система оформлена в виде обособленного движка, работающего на стороне хост-систем, систем непрерывной интеграции или хранилищ образов контейнеров.

Сервер включает в себя модули, отвечающие за управляющий HTTP API (запросы отправляются в формате JSON), выделение информации из слоёв контейнеров, обновление базы уязвимостей из разных источников, отправку уведомлений, самодиагностики всех внутренних сервисов и сохранения информации о начинке контейнеров и выявленных уязвимостях в графо-ориентированной СУБД Cayley. Для хранения данных могут применяться разные бэкенды, но рекомендуется использовать Bolt для индивидуальных установок или PostgreSQL для крупных внедрений, охватывающих несколько серверов.

Проверка осуществляется без выполнения контейнера на основании анализа образующих контейнер слоёв. Информация о начинке контейнера сохраняется и в будущем может использоваться для определения подверженности проверенной версии контейнера новым уязвимостям. Для определения подверженности уязвимостям применяется сопоставление файлов из репозиториев известных дистрибутивов с файлами, входящими в состав контейнера. Как правило состав контейнера удаётся определить при помощи пакетного менеджера и отслеживания источника сборки репозитория. При отсутствии мета-данных осуществляется дополнительная проверка по хэшам известных исполняемых файлов и библиотек, входящих в типовые дистрибутивы Linux.

В настоящее время Clair уже применяется для проверки безопасности образов контейнеров, размещённых в реестре Quay.io. Ожидается, что внедрение Clair позволит решить растущие проблемы с накоплением контейнеров с неисправленными уязвимостями и проинформировать потенциальных пользователей и создателей таких контейнеров о имеющихся проблемах. Например, первый запуск сервиса выявил, что около 80% всех размещённых в каталоге Quay.io Docker-контейнеров содержат уязвимость CVE-2014-0160 ("Heartbleed"), которая была исправлена в дистрибутивах более 18 месяцев назад.

  1. Главная ссылка к новости (https://coreos.com/blog/vulner...)
  2. OpenNews: Выпуск распределенной системы хранения конфигурации etcd 2.1
  3. OpenNews: Выпуск Kubernetes 1.0, системы управления кластером изолированных контейнеров
  4. OpenNews: Выпуск инструментария Rocket 0.8 с поддержкой виртуальных окружений Intel Clear
  5. OpenNews: Выпуск Docker 1.7. Docker и CoreOS объединили усилия в разработке единого формата контейнеров
  6. OpenNews: Первый стабильный выпуск серверной Linux-системы CoreOS
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/43327-coreos
Ключевые слова: coreos, clair
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Michael Shigorin (ok), 12:42, 15/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Есть такая проблема.  Странно только Go, конечно...
     
     
  • 2.2, Аноним (-), 12:58, 15/11/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Go уже почти де-факто стандарт для инструментов управления контейнерами. Все разработки Docker и CoreOS на Go.
     
     
  • 3.12, Аноним (-), 23:22, 15/11/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Go уже почти де-факто стандарт для инструментов управления контейнерами

    бомжи ликуют

     
     
  • 4.22, Аноним (-), 12:25, 16/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен. Вообще-то мне квм больше виртуалбоха нравится, но бомж так удобен! Использую с шелл/ансибиль/пипет-провижн.
     
  • 2.6, 10й Брейтовский переулок (?), 16:14, 15/11/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Миша, ты проспал очередную ползучую революцию. GO местами уже стандарт, а во многих скоро им станет.
     
     
  • 3.7, Аноним (-), 16:31, 15/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    а сколько было экспертных мнений типа "не взлетит" и "чем он лучше C" :)
     
     
     
     
     
     
    Часть нити удалена модератором

  • 8.30, Аноним (-), 21:45, 16/11/2015 [ответить]  
  • +/
    очередной проходной язычишко, который через пару лет забудут, и всё так же продо... текст свёрнут, показать
     
  • 4.21, Клыкастый (ok), 12:17, 16/11/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    как это часто бывает в RL взлетел он не благодаря тому, чем он лучше, а благодаря тому, чем он хуже: всё мимо системы.
     
     
  • 5.23, тоже Аноним (ok), 12:58, 16/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Взлетел он благодаря продвижению Гуглем.
    А облаивание с обочин, равно как и аплодисменты оттуда же, на курс никогда не влияли.
     
     
  • 6.25, Аноним (-), 14:52, 16/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    взлетел он потому что создавался для удобного и эффективного решения проблем специфичных для областей в которых взлетел и оказался там ожидаемо удобен и функционален.  
     
     
  • 7.26, тоже Аноним (ok), 16:08, 16/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    В отличие от других языков, которые создавались специально для мучений и говнокода, оказавшихся на практике совершенно непригодными. Видимо, так.
     
  • 3.32, Michael Shigorin (ok), 22:48, 17/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Миша, ты проспал очередную ползучую революцию.

    Да если б только её...

     
  • 2.8, Аноним (-), 17:56, 15/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Все правильно написал.
     
  • 2.9, Аноним (-), 17:58, 15/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Есть такая проблема.  Странно только Go, конечно...

    https://gist.github.com/kachayev/21e7fe149bc5ae0bd878
    http://stackoverflow.com/questions/28272285/why-cgos-performance-is-so-slow-i

    via http://zamotivator.livejournal.com/

     

  • 1.3, Аноним (-), 13:25, 15/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    сначала придумаем систему, которая уязвима к такого рода явлениям (ну то есть необновляемые контейнеры), а потом будем упорно бороться с этой проблемой.
    помню несколько лет назад одним из преимуществ линукса называли как раз эту особенность - то что сфот обновляется централизованно в системе. лицоладонь.
     
     
  • 2.4, Аноним (-), 13:58, 15/11/2015 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Дай человеку рыбу - и ты накормишь его на день.
    Дай ему удочку - ...и потеряешь выгодный бизнес.
     
     
  • 3.11, ss (??), 23:06, 15/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    О чём ты?
     
     
  • 4.16, ix.. (?), 04:43, 16/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    о том что всё во имя бабок, и чем система сложнее и неустойчивее, тем больше бабок можно иметь. Нет смысла в простом, работающем и свободном окружении - его будет не нужно поддерживать, а значит не будет заработка.
     
  • 2.15, sage (??), 03:21, 16/11/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Просто люди используют контейнеры неправильно. Большинство их использует для изоляции, и им не особо нужна другая базовая система. Люди особо не знают, что в том же systemd встроенные механизмы изоляции namespace, seccomp, они просто берут то, что на слуху.
     
     
  • 3.20, Аноним (-), 10:54, 16/11/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Просто люди используют контейнеры неправильно. Большинство их использует для изоляции,
    > и им не особо нужна другая базовая система. Люди особо не
    > знают, что в том же systemd встроенные механизмы изоляции namespace, seccomp,
    > они просто берут то, что на слуху.

    а ещё люди не знают, что в системдэ встроена замена крону и пользуются кроном, вот лохи-то

     
     
  • 4.29, . (?), 18:18, 16/11/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> знают, что в том же systemd встроенные механизмы изоляции namespace, seccomp,
    >> они просто берут то, что на слуху.
    > а ещё люди не знают, что в системдэ встроена замена крону и
    > пользуются кроном, вот лохи-то

    А ещё встроенный в этот продугД Апач никак не победит настоящего. Лохи все какие то :)))

     
  • 2.24, Аноним (-), 13:26, 16/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    какой долгий пук в лужу, браво
     
  • 2.31, а (?), 18:27, 17/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Сам-то вользовался контейнерной виртуализацией?

    По хорошему контейнеры не должны долго жить, а обновляться быстро и часто.

     
     
  • 3.33, Michael Shigorin (ok), 23:09, 17/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > По-хорошему, контейнеры не должны долго жить

    Это ещё с какого перепугу?  На том же ныне покойном хостинге linux.kiev.ua/osdn.org.ua жили годами, не тужили.

     
     
  • 4.34, тот самый (?), 17:33, 18/11/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Оплошал, да.
    Имел в виду конкретно контейнеры приложений а-ля docker, rkt.

    Частые деплои и вот это вот все, я об этом.

     

  • 1.13, grec (?), 23:29, 15/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > используется база CVE (Common Vulnerabilities and Exposures)

    Предсказываю большое количество ложных срабатываний.

     
  • 1.27, Аноним (-), 16:25, 16/11/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    bool isVulnerable(container_t * c) {
      if (c == NULL) {
        return false;
      } else {
        return true;
      }
    }
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру