Mellékleteink: HUP | Gamekapocs
Keres

Mennyire sérülékeny a konténered?

Voith Hunor, 2015. november 17. 17:30
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

A CoreOS szerint a Clair tudja rá a választ. Az eszközt a cég nyílt forrásúként adta ki.

hirdetés

Új, konténerekhez szánt biztonsági auditeszközt adott ki a CoreOS. A konténerek alá szánt, azonos nevű operációs rendszert fejlesztő cég a Clairt nyílt forrású szoftverként tette elérhetővé (Apache 2.0 licenc alatt) mindenki számára – azért, mert "hiszi, hogy a világ infrastruktúrájának biztonságát növelő eszközökhöz minden beszállítónak és felhasználónak ingyen kéne hozzáférnie".

A Clair önállóan vagy a CoreOS konténermenedzsment-platformja, a Quay részeként is használható – utóbbi esetben a jelenleg béta állapotú Quay Security Scanning alapjaként szolgál. A cég saját tesztjei szerint a Quay-en keresztül menedzselt konténerek négyötödében található súlyos sérülékenység, a hírhedt Heartbleed-sérülékenységet tartalmazó OpenSSL-verzió például pont ekkora arányban van jelen a vizsgált konténerekben. Az ellenőrzéshez szükséges adatok a CVE, az Ubuntu CVE Tracker, Debian Security Bug Tracker és Red Hat Erratas adatbázisokból származnak.

A Clair önmagában "csak" egy analitikai és jelentéskészítő eszköz, de rá alapozva létrehozható olyan – akár automatizált – megoldás is, ami az észlelt sérülékenységek alapján a szükséges frissítések elvégzése után biztonságos(abb) konténereket generál. A biztonsági vizsgálat a konténer minden szintjén (csomagkezelő, dependenciák és az alkalmazás) lefut, a biztonsági állapotról kapott képet pedig frissen lehet tartani, mert a vizsgálatok lefuttatása hozzáköthető a sérülékenység-adatbázisok frissüléséhez.

A CoreOS szerint a Clair és a Quay Security Scanning jelenleg még bevallottan korai állapotúak, ezért minden érdeklődőt arra kérnek, tegyen velük próbát és adjon visszajelzést. A Clairt ezen a GitHub-oldalon lehet elérni, a Quay ingyenes próbaverziójára pedig a szolgáltatás oldalán lehet regisztrálni.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
Június 4-én alapoktól induló, 30 órás online Java back-end fejlesztői, június 5-én pedig Microsoft Azure képzést indít a HWSW!