安全防护工具之:Clair

最新推荐文章于 2024-02-21 17:00:00 发布
VIP文章 最新推荐文章于 2024-02-21 17:00:00 发布
阅读量2.1w 收藏 14
点赞数 7
分类专栏: 工具 # 深入浅出Docker # 自动化工具 # 持续监控 文章标签: clair 镜像 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liumiaocn/article/details/76697022
版权

这里写图片描述
安全性对任何产品来说都非常重要,比如著名的HeartBleed就就曾经给很多忽视安全问题的企业带来了很大的影响。而随着容器化的推进,早在2015年的一次调查中,研究者就曾发现取样的Dockerhub上有30%-40%的镜像存在安全性的问题。Clair正是由coreos所推出的这样一款针对容器的安全扫描的工具,类似于Docker在其收费版中提供的功能那样,能对应用容器的脆弱性进行静态扫描,同时支持APPC和DOCKER。

项目地址

项目 详细
项目地址 https://github.com/coreos/clair

为什么使用Clair

随着容器化的逐渐推进,使用的安全性也受到越来越多地重视。在很多场景下,都需要对容器的脆弱性进行扫描,比如

项目 详细
镜像来源不明 在互联网上下载的镜像,可以直接使用,非常的方便,但是是否真正安全还非常难说
生产环境的实践 容器上到生产环境之后,生产环境对容器的安全性要求一般较高,此时需要容器的安全性得到保证

名称的由来

clair的目标是能够从一个更加透明的维度去看待基于容器化的基础框架的安全性。Clair=clear + bright + transparent

工作原理

通过对容器的layer进行扫描,发现漏洞并进行预警,其使用数据是基于Common Vulnerabilities and Exposures数据库(简称CVE), 各Linux发行版一般都有自己的CVE源,而Clair则是与其进行匹配以判断漏洞的存在与否,比如HeartBleed的CVE为:CVE-2014-0160。
这里写图片描述

数据源支持

目前Clair支持如下数据源:

数据源 具体数据 格式 License
Debian Security Bug Tracker Debian 6, 7, 8, unstable namespaces dpkg Debian
Ubuntu CVE Tracker Ubuntu 12.04, 12.10, 13.04, 14.04, 14.10, 15.04, 15.10, 16.04 namespaces dpkg GPLv2
Red Hat Security Data CentOS 5, 6, 7 namespaces rpm CVRF
Oracle Linux Security Data Oracle Linux 5, 6, 7 namespaces rpm CVRF
Alpine SecDB Alpine 3.3, Alpine 3.4, Alpine 3.5 namespaces apk MIT
NIST NVD Generic Vulnerability Metadata N/A Public Domain

数据库

Clair的运行需要一个数据库实例,目前经过测试的数据库的版本为

数据库 版本
postgresql 9.6
postgresql 9.5
postgresql 9.4

运行方式

因为clair以镜像的方式进行打包和发布,所以其运行支持如下几种方式:

  • Kubernetes
  • docker-compose
  • docker

本文使用docker-compose来演示起使用方法,其他方式大同小异。

事前准备

docker版本

[root@liumiaocn ~]# docker version
Client:
 Version:      1.13.1
 API version:  1.26
 Go version:   go1.7.5
 Git commit:   092cba3
 Built:        Wed Feb  8 08:47:51 2017
 OS/Arch:      linux/amd64

Server:
 Version:      1.13.1
 API version:  1.26 (minimum version 1.12)
 Go version:   go1.7.5
 Git commit:   092cba3
 Built:        Wed Feb  8 08:47:51 2017
 OS/Arch:      linux/amd64
 Experimental: false
[root@liumiaocn ~]#

docker-compose版本

[root@liumiaocn ~]# docker-compose version
docker-compose version 1.14.0, build c7bdf9e
docker-py
最低0.47元/天 解锁文章
淼叔
关注
  • 7
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 40
    评论
专栏目录
klar:Clair和Docker Registry的集成
02-05
Klar是使用Clair 来分析存储在私有或公共Docker注册表中的图像的安全漏洞的简单工具。 Klar旨在用作集成工具,因此它依赖于环境变量。 它是单个二进制文件,不需要依赖项。 Klar充当客户端,负责协调Docker注册表...
Harbor集成Clair镜像安全扫描并手动导入漏洞数据
arnolan的博客
10-21 5695
通过这篇文章,你会了解到: harbor启停方法 clair镜像扫描原理 harbor数据库(MySQL)一览 clair数据库(PostgreSql)一览 harbor手动导入漏洞数据方法 背景 先说明下背景和版本 公司内网使用(无Internet)Harbor:V1.5.0,没有Clair,没有启用https。 需求:开启使用Clair进行镜像安全扫描。 PS:harbor介绍及安装可以...
【Docker】镜像安全扫描工具clairclairctl
阳阳的博客
08-12 9654
clair是什么? clair是一个开源项目,用于静态分析appc和docker容器中的漏洞。 漏洞元数据从一组已知的源连续导入,并与容器映像的索引内容相关联,以生成威胁容器的漏洞列表。 clair版本选择 clair选择2.0.1版本 clair安装过程 docker方式 1.clair将漏洞元数据存储在Postgres中,先拉取postgres:9.6 docker pull ...
5 款漏洞扫描工具:实用、强力、全面(含开源)
最新发布
ZL_1618的博客
02-21 1971
Trivy 是一个开源漏洞扫描程序,能够检测开源软件中的CVE。这款工具针对风险提供了及时的解释,开发人员可自行决定是否在容器或应用程序中使用该组件。常规的容器安全协议使用的是静态镜像扫描来发现漏洞,Trivy则是将漏洞扫描工具无缝合并到集成开发环境当中。另外,由于背靠庞大的开源社区,许多的集成及附加组件都支持 Trivy,例如使用 Helm 图表能够将 Trivy 安装到 Kubernetes 集群,借助Prometheus 导出器能够提取漏洞指标。
Docker安装与使用
王凯琦-工业软件交流中心
07-29 2177
Docker & K8s 简单小记 Docker & K8s 简单小记,主要是用于初识Docker的朋友们对于Docker知识的一点分享。 初识Docker & K8s Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的 Linux或Windows 机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间...
OpenShift 4 - 镜像漏洞扫描软件 Clair
多恩斯基的博客
12-30 1055
《OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.9环境中验证 文章目录Clair 是什么?在 OpenShift 安装 Clair 环境安装 Clair 客户端使用 Clair 对容器镜像进行扫描参考 Clair 是什么? Clair 最早是 CoreOS 公司开发的一个容器镜像漏洞扫描工具,后来 CoreOS 被红帽收购,Clair 成为 Red Hat 主导的容器镜像安全漏洞扫描的开源软件 。 作为一款开源软件,Clair 即可单独运行,也可集成到其他软件中运行。
Clair镜像安全扫描工具
qq_44789526的博客
03-09 1420
本文主要描述Clair的部署内容 Install:首先要下载好需要的镜像等文件 # Clone the repo git clone [email protected]:arminc/clair-scanner.git # Build and install cd clair-scanner make build make installLocal # Run ./clair-scanner -h 如有问题,也可根据下面命令或网址自行下载 **https://hub.docker.com/r/arminc/c
在虚拟化云架构和容器环境下的开源安全工具介绍
llawliet0001的专栏
04-15 488
导读 随着云和虚拟技术发展,docker容器的使用越来越流行和方便。有很多企业已经把基础架构由传统实体机转移到了虚拟机化架构,基于公有云、私有云以及容器云构建在线服务。与容器相关的安全性对变得越来越重要。 与传统的安全性方法相比,虚拟化架构架构上的差异完全需要不同的安全性方法,必须要在服务构建过程的早期阶段了解并执行特定的容器安全性扫描。为了应对虚拟化容器云架构下的安全需求,本文介绍虫虫...
yair:使用Clair进行安全扫描图像
05-03
Yair是与进行交互的轻量级命令行工具。 它专为在CI Job中执行而设计,例如确定是否可以将映像部署到生产环境。 它也可以在本地执行而无需太多的努力。 特征: 易于使用 快速扫描 扫描公共和私人图像 图像安全性...
clair:容器的漏洞静态分析
02-02
我们的目标是使基于容器的基础结构的安全性更加透明。 因此,该项目以法语术语“ Clair命名,该术语翻译为清晰,明亮,透明。 包含有关Clair的体系结构和操作的所有文档。 社区 邮件列表: IRC:freenode.org上...
Clair-setup-for-docker-image-scanning:用于静态docker图像和容器扫描的Clair设置
02-18
克莱尔为码头工人设置图像扫描 安装 cd clair-container-scanner-config docker-compose up 分析 docker-compose run --rm clair-scanner postgres:latest
clair-scanner:Docker容器漏洞扫描
02-02
clair没有的是一个简单的工具,可以扫描您的图像,并将漏洞与白名单进行比较,以查看漏洞是否被批准。 这是clair-scanner到位的地方。 clair-scanner执行以下操作: 针对Clair服务器扫描图像将漏洞与白名单进行比较
clair-local-scan:独立运行CoreOs Clair
05-13
Clair服务器或本地 CoreOs克莱尔 您可以使用数据库运行专用的Clair服务器,并在ci / cd管道中使用该服务器,但是如果您希望将Clair作为ci / cd管道的一部分运行,那么您会感到惊讶: 从头启动Clair大约需要20到30...
【Docker】clair镜像扫描的实现
阳阳的博客
11-04 3473
clair镜像扫描的实现 一、前言 clair扫描的相关基础请先移步我的另外一篇文章镜像安全扫描工具clairclairctl 这次我们采用clair api方式的扫描,基本思路是 打包镜像 解压tar包至tomcat的ROOT目录,得到每一个镜像的分层文件及描述文...
[kubernetes]-harbor安装扫描器Clair
爷来辣的博客
06-18 755
harbor安装扫描器
Clair二次开发指南1——Clair编译与使用》
帮助别人等于帮助自己 ——MXi4oyu
11-26 1873
Clair是容器静态漏洞分析器,可以用以评估Docker镜像安全性。Clair目前共发布了21个release,这里我们使用其第20个release版本,即V2.0.0进行源码剖析。下载地址为:https://github.com/coreos/clair/archive/v2.0.0.zip
5款漏洞挖掘扫描工具,网安人必备!
shandongjiushen的博客
10-14 3823
网安人想挖漏洞赚钱,没有趁手的工具怎么行呢?
Docker 安全么?
07-15
Docker 在安全方面提供了一些保护措施,但它仍然需要正确配置和管理才能确保安全性。下面是一些关于 Docker 安全性的考虑和措施: 1. 隔离性:Docker 使用容器来实现应用程序的隔离,每个容器都运行在自己的环境中,使得容器之间相互隔离。这有助于减少容器之间的攻击风险。 2. 用户权限管理:Docker 提供了用户权限管理机制,可以限制容器内部的用户对主机系统的访问权限。合理配置用户权限可以减少潜在的安全漏洞。 3. 镜像来源验证:在使用 Docker 镜像时,应该验证镜像的来源和完整性。只使用受信任的镜像源,并确保镜像在传输过程中没有被篡改。 4. 容器漏洞扫描:定期对容器进行漏洞扫描,及时发现并修复容器中的安全漏洞。可以使用一些工具Clair、Trivy等来进行容器漏洞扫描。 5. 容器网络安全:Docker 提供了网络隔离的功能,可以设置不同容器之间的网络访问规则,并限制容器对外部网络的访问。合理配置容器网络可以减少攻击面。 6. 容器监控和日志记录:实时监控容器的运行状态,记录容器的日志信息,有助于及时发现异常情况和安全事件。 7. 定期更新和维护:及时更新 Docker 引擎和相关组件,以修复已知的安全漏洞,并维护容器环境的安全性。 尽管 Docker 提供了这些安全性措施,但在使用 Docker 时仍然需要谨慎操作。合理配置和管理容器,定期更新和扫描容器,以及保持对安全最佳实践的关注,都是确保 Docker 安全的关键。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 40
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值