Clair介绍和源码分析

最新推荐文章于 2024-08-07 09:11:21 发布
最新推荐文章于 2024-08-07 09:11:21 发布
阅读量2.9w 收藏 4
点赞数 3
分类专栏: docker clair 文章标签: clair docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WaltonWang/article/details/53995685
版权
本文详述了Clair的架构,包括Fetcher、Detector、Image Format、Notification Hook和Database等模块。阐述了如何编译和使用Clair,以及如何通过docker-compose部署。重点解析了Clair的main方法和Post Layer API Workflow,分析了worker如何处理Layer检测,并介绍了源码中涉及的关键流程和接口调用。
摘要由CSDN通过智能技术生成

Clair源码分析

本文主要描述Clair架构、编译、部署、源码分析等内容。

Clair架构

这里写图片描述
Clair主要包括以下模块:

  • 获取器(Fetcher)- 从公共源收集漏洞数据

  • 检测器(Detector)- 指出容器镜像中包含的Feature

  • 容器格式器(Image Format)- Clair已知的容器镜像格式,包括Docker,ACI

  • 通知钩子(Notification Hook)- 当新的漏洞被发现时或者已经存在的漏洞发生改变时通知用户/机器

  • 数据库(Databases)- 存储容器中各个层以及漏洞

  • Worker - 每个Post Layer都会启动一个worker进行Layer Detect

Clair源码编译和使用

  • 启动一个pgsql容器作为Clair的Backend DB

    docker run -p 5432:5432 -e POSTGRES_PASSWORD=passw0rd postgres:latest

  • 从源码编译clair

    go get github.com/coreos/clair

    go install github.com/coreos/clair/cmd/clair

  • 配置Clair的Backend DB (vim /etc/clair/config.yaml)

这里写图片描述

  • 启动clair

    clair -config config.yaml

  • 安装并启动本地镜像分析工具: analyze-local-images

    go get -u github.com/coreos/clair/contrib/analyze-local-images

  • 执行镜像扫描

    analyze-local-images -endpoint “http://10.199.244.27:6060” -my-address “10.199.244.27” vipdocker-f9nub.vclound.com/centos:6.6

-endpoint配置clair部署的主机IP

docker-compose部署Clair

通过docker-compose部署clair的yaml文件内容如下:

version: '2'
services:
  postgresql:
    image: /libary/postgres:0.1
    restart: always
    ports:
      - 5432:5432
    volumes:
      - /docker/postgresql/data:/var/lib/postgresql/data
  clair:
    image: libary/clair:0.2
    depends_on:
      - postgresql
    ports:
      - 6060:6060
      - 6061:6061
    environment:
      - POSTGRESQL_HOST=postgresql

Clair源码分析

Clair内部各个模块之间的关系如下:
这里写图片描述

以Rest API请求为入口,相关模块的流程大致如下:
这里写图片描述

下面将具体进行入口和Post Layer接口的源码进行分析。

main方法

/cmd/clair/main.go

func main() {
    ...
    // 加载配置文件
    config, err := config.Load(*flagConfigPath)
    ...
最低0.47元/天 解锁文章
WaltonWang
关注
专栏目录
安全防护工具之:Clair
知行合一 止于至善
08-09 2万+
Clair是由coreos所推出的一款针对容器的安全扫描的工具,类似于Docker在其收费版中提供的功能那样,能对应用容器的脆弱性进行静态扫描,同时支持APPC和DOCKER。这篇文章会介绍Clair的使用方式,Clair的原理,并使用clairctl的客户端演示如何利用clair进行镜像的安全扫描并获取扫描的报告信息。
使用clair镜像扫描
Aggressive_snail的专栏
06-02 1440
文章目录目的安装clair使用clair扫描镜像Usage使用docker镜像的klar扫描镜像作为drone插件执行 目的 执行镜像扫描,扫描镜像仓库的镜像,生成报告 安装clair 操作系统:ubuntu 18.06 docker:18.06.3 docker-compose: docker-compose version 1.25.5, build 8a1c60f6 打开github clair 使用docker-compos启动clair, clair-docker-compose配置下载 $ cu
Harbor系列之3:使用docker环境安装Harbor仓库-https部署
lldhsds的专栏
07-24 1387
Harbor 是一个开源的云原生镜像仓库,用于存储和分发容器镜像的企业级Registry服务器,通过添加一些企业必需的功能特性,例如安全、标识和管理等,扩展了开源 Docker Distribution。作为一个企业级私有 Registry 服务器,Harbor 提供了更好的性能和安全。本文记录使用docker环境安装部署Harbor仓库,使用https协议,采用自签名证书。本文时间部署Harbor v2.11.0版本,采用离线部署安装包。
Clair二次开发指南2——analyze-local-images源码剖析》
帮助别人等于帮助自己 ——MXi4oyu
11-27 1105
我们先分析下analyze-local-images这个客户端,然后在下一篇文章中在分析Clair。这样我们可以很清楚的了解到,analyze-local-images向Clair发送了什么数据。 首先analyze-local-images定义了几个全局变量。代码如下。 const ( postLayerURI = "/v1/layers" getLayerFeatures
推荐使用:Clair - 容器安全扫描利器
gitblog_00077的博客
05-26 426
推荐使用:Clair - 容器安全扫描利器 项目地址:https://gitcode.com/arminc/clair-local-scan 项目介绍 Clair 是一个由 CoreOS 开发的开源项目,用于检测容器镜像中的已知安全漏洞。它通过分析容器的层结构,与数据库中的CVE(Common Vulnerabilities and Exposures)信息进行比对,帮助开发者识别并修复潜在的安全...
clair:容器的漏洞静态分析
02-02
Clair是一个开源项目,用于应用程序容器(当前包括和 )中的漏洞。 客户端使用Clair API索引其容器映像,然后可以将其与已知漏洞进行匹配。 我们的目标是使基于容器的基础结构的安全性更加透明。 因此,该项目以...
容器漏洞分析服务Clair.zip
07-17
Clair 是一个容器漏洞分析服务。它提供一个能威胁容器漏洞的列表,并且在有新的容器漏洞发布出来后会发送通知给用户。 标签:Clair
java开发crm项目源码-resume:恢复
06-05
java开发crm项目源码朱利安·加西亚·冈萨雷斯 Devops 促进者和后端开发者 - +32 471 53 15 13 - 技能 方法论:敏捷(Scrum、看板)、软件Craft.io(XP、干净代码、TDD、BDD) 开发运营:Docker、CoreOS(Clair、...
Clair 开源项目使用教程
最新发布
gitblog_01113的博客
08-07 370
Clair 开源项目使用教程 clairVulnerability Static Analysis for Containers项目地址:https://gitcode.com/gh_mirrors/cl/clair 1. 项目的目录结构及介绍 Clair 是一个用于容器镜像静态分析漏洞的开源项目。以下是 Clair 项目的主要目录结构及其介绍: api: 包含 Clair 的 API 定义和...
Clair-setup-for-docker-image-scanning:用于静态docker图像和容器扫描的Clair设置
02-18
克莱尔为码头工人设置图像扫描 安装 cd clair-container-scanner-config docker-compose up 分析 docker-compose run --rm clair-scanner postgres:latest
二次解析源码
03-25
实测可用无错,可添加多个播放接口。免费分享给大家使用咯~
clair-local-scan:独立运行CoreOs Clair
05-13
Clair服务器或本地 CoreOs克莱尔 您可以使用数据库运行专用的Clair服务器,并在ci / cd管道中使用该服务器,但是如果您希望将Clair作为ci / cd管道的一部分运行,那么您会感到惊讶: 从头启动Clair大约需要20到30分钟,因为数据库需要填充CVE Clair需要访问容器层,因此您需要从Clair到构建作业的远程访问 为了解决这些问题,我创建了一个Travis计划的作业,该作业每天创建一个数据库。 该数据库可用于在构建作业中独立运行clair。 为此,您需要Clair,它可以与数据库和已经装有CVE的数据库进行通信。 该存储库构建所有这些: 特拉维斯·乔布斯 克莱尔图片 预填充的数据库 重要提示:请记住,您可以将数据库的新版本与更新的漏洞数据一起使用。 只需将标签从“ 2017-03-15”更改为今天即可。 如何扫描容器 在本地或运行您的工作时启动
clair:一个包含原理,Vue和React组件的设计系统
03-11
克莱尔设计 前提条件 是必需的。 只是忘了npm run 。 开始之前 查看如何做出贡献。 开始使用 安装 yarn 开始 # for vue yarn start vue # for react yarn start react 预览网站 # for vue yarn serve vue # for react yarn serve react :warning: :warning: :warning: 犯罪 请使用yarn commit或npm run commit而不是git commit 。 如果已安装请使用git cz 。 莱娜 运行纱线命令 yarn lerna run --stream build --scope @clair/helpers # OR yarn workspace @clair/helpers build 链接包 yarn lerna add @clair/theme-default pac
clairstudiobcn.github.io
04-17
clairstudiobcn.github.io
Clair二次开发指南1——Clair编译与使用》
帮助别人等于帮助自己 ——MXi4oyu
11-26 1918
Clair是容器静态漏洞分析器,可以用以评估Docker镜像的安全性。Clair目前共发布了21个release,这里我们使用其第20个release版本,即V2.0.0进行源码剖析。下载地址为:https://github.com/coreos/clair/archive/v2.0.0.zip
Docker】镜像安全扫描工具clairclairctl
热门推荐
阳阳的博客
08-12 1万+
clair是什么? clair是一个开源项目,用于静态分析appc和docker容器中的漏洞。 漏洞元数据从一组已知的源连续导入,并与容器映像的索引内容相关联,以生成威胁容器的漏洞列表。 clair版本选择 clair选择2.0.1版本 clair安装过程 docker方式 1.clair将漏洞元数据存储在Postgres中,先拉取postgres:9.6 docker pull ...
CoreOS发布Clair,容器镜像分析
weixin_34310785的博客
09-29 155
本文讲的是CoreOS发布Clair,容器镜像分析器,【编者的话】CoreOS在启动Clair项目四个月之后,终于发布了Clair的1.0版本,这是个可以上生产环境的版本,并在性能以及扩展性上有了很大的提高! 四个月前,CoreOS启动了Clair,它是一个开源的容器镜像安全分析器。今天Clair已经升级到1.0,并为在生产环境使用做好了准备。Co...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值