Mennyire sérülékeny a konténered?

Új, konténerekhez szánt biztonsági auditeszközt adott ki a CoreOS. A konténerek alá szánt, azonos nevű operációs rendszert fejlesztő cég a Clairt nyílt forrású szoftverként tette elérhetővé (Apache 2.0 licenc alatt) mindenki számára – azért, mert "hiszi, hogy a világ infrastruktúrájának biztonságát növelő eszközökhöz minden beszállítónak és felhasználónak ingyen kéne hozzáférnie".

A Clair önállóan vagy a CoreOS konténermenedzsment-platformja, a Quay részeként is használható – utóbbi esetben a jelenleg béta állapotú Quay Security Scanning alapjaként szolgál. A cég saját tesztjei szerint a Quay-en keresztül menedzselt konténerek négyötödében található súlyos sérülékenység, a hírhedt Heartbleed-sérülékenységet tartalmazó OpenSSL-verzió például pont ekkora arányban van jelen a vizsgált konténerekben. Az ellenőrzéshez szükséges adatok a CVE, az Ubuntu CVE Tracker, Debian Security Bug Tracker és Red Hat Erratas adatbázisokból származnak.

Miért kritikus a Patch & Asset Management a kibervédelemben? (x) Az adatszivárgások jelentős része megakadályozható lenne, ha a szervezetek időben telepítenék a szoftverfrissítéseket.

A Clair önmagában "csak" egy analitikai és jelentéskészítő eszköz, de rá alapozva létrehozható olyan – akár automatizált – megoldás is, ami az észlelt sérülékenységek alapján a szükséges frissítések elvégzése után biztonságos(abb) konténereket generál. A biztonsági vizsgálat a konténer minden szintjén (csomagkezelő, dependenciák és az alkalmazás) lefut, a biztonsági állapotról kapott képet pedig frissen lehet tartani, mert a vizsgálatok lefuttatása hozzáköthető a sérülékenység-adatbázisok frissüléséhez.

A CoreOS szerint a Clair és a Quay Security Scanning jelenleg még bevallottan korai állapotúak, ezért minden érdeklődőt arra kérnek, tegyen velük próbát és adjon visszajelzést. A Clairt ezen a GitHub-oldalon lehet elérni, a Quay ingyenes próbaverziójára pedig a szolgáltatás oldalán lehet regisztrálni.