安全防护工具之:Clair

最新推荐文章于 2024-08-07 09:55:38 发布
最新推荐文章于 2024-08-07 09:55:38 发布
阅读量2.1w 收藏 14
点赞数 7
分类专栏: 工具 # 深入浅出Docker # 自动化工具 # 持续监控 文章标签: clair 镜像 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liumiaocn/article/details/76697022
版权
Clair是一款由coreos推出的容器安全扫描工具,用于静态分析应用容器的脆弱性。它通过扫描容器的layer,匹配CVE数据库来检测漏洞。本文介绍了Clair的工作原理、数据源支持、运行方式,特别是使用docker-compose进行部署的步骤,以及如何借助clairctl工具分析本地镜像,确保容器化的安全性。
摘要由CSDN通过智能技术生成

这里写图片描述
安全性对任何产品来说都非常重要,比如著名的HeartBleed就就曾经给很多忽视安全问题的企业带来了很大的影响。而随着容器化的推进,早在2015年的一次调查中,研究者就曾发现取样的Dockerhub上有30%-40%的镜像存在安全性的问题。Clair正是由coreos所推出的这样一款针对容器的安全扫描的工具,类似于Docker在其收费版中提供的功能那样,能对应用容器的脆弱性进行静态扫描,同时支持APPC和DOCKER。

项目地址

项目 详细
项目地址 https://github.com/coreos/clair

为什么使用Clair

随着容器化的逐渐推进,使用的安全性也受到越来越多地重视。在很多场景下,都需要对容器的脆弱性进行扫描,比如

项目 详细
镜像来源不明 在互联网上下载的镜像,可以直接使用,非常的方便,但是是否真正安全还非常难说
生产环境的实践 容器上到生产环境之后,生产环境对容器的安全性要求一般较高,此时需要容器的安全性得到保证

名称的由来

clair的目标是能够从一个更加透明的维度去看待基于容器化的基础框架的安全性。Clair=clear + bright + transparent

工作原理

通过对容器的layer进行扫描,发现漏洞并进行预警,其使用数据是基于Common Vulnerabilities and Exposures数据库(简称CVE), 各Linux发行版一般都有自己的CVE源,而Clair则是与其进行匹配以判断漏洞的存在与否,比如HeartBleed的CVE为:CVE-2014-0160。
这里写图片描述

数据源支持

目前Clair支持如下数据源:

数据源 具体数据 格式 License
Debian Security Bug Tracker Debian 6, 7, 8, unstable namespaces dpkg Debian
Ubuntu CVE Tracker Ubuntu 12.04, 12.10, 13.04, 14.04, 14.10, 15.04, 15.10, 16.04 namespaces dpkg GPLv2
Red Hat Security Data CentOS 5, 6, 7 namespaces rpm CVRF
Oracle Linux Security Data Oracle Linux 5, 6, 7 namespaces rpm CVRF
Alpine SecDB Alpine 3.3, Alpine 3.4, Alpine 3.5 namespaces apk MIT
NIST NVD Generic Vulnerability Metadata N/A Public Domain

数据库

Clair的运行需要一个数据库实例,目前经过测试的数据库的版本为

数据库 版本
postgresql 9.6
postgresql 9.5
postgresql 9.4

运行方式

因为clair以镜像的方式进行打包和发布,所以其运行支持如下几种方式:

  • Kubernetes
  • docker-compose
  • docker

本文使用docker-compose来演示起使用方法,其他方式大同小异。

事前准备

docker版本

[root@liumiaocn ~]# docker version
Client:
 Version:      1.13.1
 API version:  1.26
 Go version:   go1.7.5
 Git commit:   092cba3
 Built:        Wed Feb  8 08:47:51 2017
 OS/Arch:      linux/amd64

Server:
 Version:      1.13.1
 API version:  1.26 (minimum version 1.12)
 Go version:   go1.7.5
 Git commit:   092cba3
 Built:        Wed Feb  8 08:47:51 2017
 OS/Arch:      linux/amd64
 Experimental: false
[root@liumiaocn ~]#

docker-compose版本

[root@liumiaocn ~]# docker-compose version
docker-compose version 1.14.0, build c7bdf9e
docker-py
最低0.47元/天 解锁文章
淼叔
关注
专栏目录
容器安全工具使用指南:保障容器环境安全的利器
TechEnthusiast的博客
02-29 2693
通过深入了解和合理使用这些容器安全工具,您可以构建更加安全、可靠的容器化环境。选择适合您需求的工具,并根据最佳实践进行配置,将有助于降低容器环境的安全风险。在容器化时代,充分利用这些工具,将成为保障应用安全性的不可或缺的一部分。希望这篇Top 10容器安全工具使用指南能够帮助您更好地理解和运用这些工具,提升容器环境的安全性。
Clair介绍和源码分析
热门推荐
WaltonWang's Blog
01-03 2万+
Clair源码分析本文主要描述Clair架构、编译、部署、源码分析等内容。
静态安全分析利器:Clair
最新发布
gitblog_00795的博客
08-07 643
静态安全分析利器:Clair clairVulnerability Static Analysis for Containers项目地址:https://gitcode.com/gh_mirrors/cl/clair 在容器化技术的浪潮中,Clair 是一个强大的开放源代码项目,专注于对应用程序容器(包括 OCI 和 Docker)中的静态漏洞分析。它的存在,为我们的容器安全提供了前所未有的透...
【Docker】镜像安全扫描工具clairclairctl
阳阳的博客
08-12 1万+
clair是什么? clair是一个开源项目,用于静态分析appc和docker容器中的漏洞。 漏洞元数据从一组已知的源连续导入,并与容器映像的索引内容相关联,以生成威胁容器的漏洞列表。 clair版本选择 clair选择2.0.1版本 clair安装过程 docker方式 1.clair将漏洞元数据存储在Postgres中,先拉取postgres:9.6 docker pull ...
容器安全检查工具 - Clair v2.0.0
weixin_34413802的博客
10-12 411
本文讲的是容器安全检查工具 - Clair v2.0.0【编者的话】本文主要介绍了容器安全检查工具——Clair 以及 v2版本的主要变化。【3 天烧脑式 Docker 训练营 | 上海站】随着Docker技术被越来越多的人所认可,其应用的范围也越来越广泛。本次培训我们理论结合实践,从Docker应该场景、持续部署与交付、如何提升测试效率、存储、网络、监...
[kubernetes]-harbor安装扫描器Clair
爷来辣的博客
06-18 777
harbor安装扫描器
OpenShift 4 - 镜像漏洞扫描软件 Clair
多恩斯基的博客
12-30 1142
《OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.9环境中验证 文章目录Clair 是什么?在 OpenShift 安装 Clair 环境安装 Clair 客户端使用 Clair 对容器镜像进行扫描参考 Clair 是什么? Clair 最早是 CoreOS 公司开发的一个容器镜像漏洞扫描工具,后来 CoreOS 被红帽收购,Clair 成为 Red Hat 主导的容器镜像安全漏洞扫描的开源软件 。 作为一款开源软件,Clair 即可单独运行,也可集成到其他软件中运行。
DevSecOps及软件IT安全防护的开源扫描工具
xiphi_6的专栏
02-17 1183
DevSecOps以及安全扫描开源扫描工具
Docker网络安全防护策略:入侵检测手段
[Docker网络安全防护策略:入侵检测手段](https://img-blog.csdnimg.cn/20190717212943837.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3d6al8xMTA=,...
Docker安全防护指南:容器安全实践策略
# 1. 引言 ### 1.1 什么是Docker Docker是一种开源的容器化平台,可通过将应用程序及其所有依赖项打包到一个独立的容器中,从而实现更快速、可靠和可移植的软件交付过程。每个容器都是一个独立的运行环境,可在...
Clair-setup-for-docker-image-scanning:用于静态docker图像和容器扫描的Clair设置
02-18
克莱尔为码头工人设置图像扫描 安装 cd clair-container-scanner-config docker-compose up 分析 docker-compose run --rm clair-scanner postgres:latest
docker基础:私库系列:再探Harbor:(5)集成clair
知行合一 止于至善
08-21 1万+
Clair是CoreOS提供的一款根据CVE的信息确认镜像各层安全状况的开源工具,harbor集成了clair到其功能之中,这也是和其他同类工具相比一个突出的亮点,而在其集成的实现中,首先clair的功能依然是靠其官方镜像和postgres结合形成,而扫描之后的信息则通过harbor自身的数据库进行保存。
Docker安装与使用
王凯琦-工业软件交流中心
07-29 2247
Docker & K8s 简单小记 Docker & K8s 简单小记,主要是用于初识Docker的朋友们对于Docker知识的一点分享。 初识Docker & K8s Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的 Linux或Windows 机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间...
Clair镜像安全扫描工具
qq_44789526的博客
03-09 1520
本文主要描述Clair的部署内容 Install:首先要下载好需要的镜像等文件 # Clone the repo git clone git@github.com:arminc/clair-scanner.git # Build and install cd clair-scanner make build make installLocal # Run ./clair-scanner -h 如有问题,也可根据下面命令或网址自行下载 **https://hub.docker.com/r/arminc/c
在虚拟化云架构和容器环境下的开源安全工具介绍
llawliet0001的专栏
04-15 510
导读 随着云和虚拟技术发展,docker容器的使用越来越流行和方便。有很多企业已经把基础架构由传统实体机转移到了虚拟机化架构,基于公有云、私有云以及容器云构建在线服务。与容器相关的安全性对变得越来越重要。 与传统的安全性方法相比,虚拟化架构架构上的差异完全需要不同的安全性方法,必须要在服务构建过程的早期阶段了解并执行特定的容器安全性扫描。为了应对虚拟化容器云架构下的安全需求,本文介绍虫虫...
5 款漏洞扫描工具:实用、强力、全面(含开源)
ZL_1618的博客
02-21 2732
Trivy 是一个开源漏洞扫描程序,能够检测开源软件中的CVE。这款工具针对风险提供了及时的解释,开发人员可自行决定是否在容器或应用程序中使用该组件。常规的容器安全协议使用的是静态镜像扫描来发现漏洞,Trivy则是将漏洞扫描工具无缝合并到集成开发环境当中。另外,由于背靠庞大的开源社区,许多的集成及附加组件都支持 Trivy,例如使用 Helm 图表能够将 Trivy 安装到 Kubernetes 集群,借助Prometheus 导出器能够提取漏洞指标。
【Docker】clair镜像扫描的实现
阳阳的博客
11-04 3578
clair镜像扫描的实现 一、前言 clair扫描的相关基础请先移步我的另外一篇文章镜像安全扫描工具clairclairctl 这次我们采用clair api方式的扫描,基本思路是 打包镜像 解压tar包至tomcat的ROOT目录,得到每一个镜像的分层文件及描述文...
K8S与容器安全:架构设计与防护策略
9. **镜像安全**:使用clair进行镜像漏洞扫描,确保部署的镜像是经过签名验证的,并且来自私有镜像仓库。避免使用未经验证或公共仓库的镜像。 10. **操作系统最小化**:采用精简的操作系统安装,减少攻击面,并及时...
评论 40
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值