Cos'è Clair?

I dati sulle vulnerabilità sono continuamente importati da un set noto di sorgenti e correlati al contenuto indicizzato delle immagini dei container per generare elenchi contenenti le vulnerabilità che minacciano i container. Se i dati su una vulnerabilità cambiano upstream, lo stato precedente e il nuovo stato della vulnerabilità, con le immagini su cui influisce, possono essere inviati tramite webhook a un endpoint configurato. Tutti i componenti principali possono essere personalizzati a livello di programmazione in fase di compilazione, senza suddividere il progetto. Clair supporta la sicurezza dei container:

• Aggiornando i dati delle vulnerabilità a partire da un set di sorgenti definito dall'utente e archiviandoli nel relativo database.
• Permettendo ai clienti di interrogare il database per rilevare vulnerabilità all'interno di immagini specifiche tramite un'API.
• Indicizzando le immagini di container con un elenco delle funzionalità presenti nell'immagine tramite un'API.

Clair esegue la scansione di ciascun livello di container e invia una notifica delle vulnerabilità che possono costituire una minaccia, in base al database Common Vulnerabilities and Exposures (CVE) e a database simili di Red HatⓇ, Ubuntu e Debian. Poiché i livelli possono essere condivisi tra diversi container, l'introspezione è fondamentale per creare un inventario di pacchetti e confrontarlo con CVE noti.

Clair ha inoltre introdotto il supporto per i gestori di pacchetti di linguaggi di programmazione, a partire da Python, nonché una nuova API orientata alle immagini.

Il rilevamento automatico delle vulnerabilità contribuisce ad aumentare la consapevolezza e le best practice di sicurezza in tutti i team di sviluppo e operativi, incoraggiandoli ad applicare le patch e a gestire le vulnerabilità. Al rilevamento di nuove vulnerabilità, Clair identifica subito i livelli vulnerabili esistenti e invia le notifiche, senza dover ripetere la scansione.

Ad esempio, benché la vulnerabilità CVE-2014-0160, detta anche "Heartbleed", sia nota da tempo, grazie alla scansione di sicurezza di Red Hat Quay si è appurato che è ancora una potenziale minaccia per un'alta percentuale di immagini di container che gli utenti hanno archiviato su Quay. 

Occorre considerare che per sfruttare una vulnerabilità devono verificarsi una serie di condizioni particolari. Ad esempio, Heartbleed diventa una minaccia solo se si installa e si utilizza il pacchetto OpenSSL vulnerabile. Clair non è adatto a un tale livello di analisi e i team dovrebbero comunque effettuare analisi più approfondite se necessario.

Clair è parte integrante del progetto Project Quay open source. La piattaforma KubernetesRed Hat OpenShift® può utilizzare Clair per la sicurezza dei container mediante un operatore Kubernetes denominato Container Security Operator che è a sua volta un componente di Red Hat Quay. Red Hat Quay è una piattaforma open source per il registro delle immagini di container che consente di creare, distribuire ed eseguire il deployment di container in datacenter globali, focalizzandosi su modelli di sviluppo e ambienti cloud native e DevSecOps.

Quay Container Security Operator, integrato in Red Hat OpenShift, è in grado di aumentare la sicurezza dei repository di immagini grazie a sistemi di automazione, autenticazione e autorizzazione. Red Hat Quay è disponibile con Red Hat OpenShift o come componente indipendente.

Red Hat OpenShift Service on AWS (ROSA) è in grado di creare immagini dal codice sorgente, distribuirle e gestirne il ciclo di vita. Fornisce un registro delle immagini di container interno e integrato, che puoi distribuire nel tuo ambiente ROSA per gestire le immagini a livello locale. Quay.io, un'istanza di Red Hat Quay Container Registry pubblica offerta e gestita da Red Hat, fornisce la maggior parte delle immagini di container e operatori ai cluster ROSA. Red Hat Quay è disponibile come servizio in hosting e come software installabile nel datacenter o nell'ambiente cloud. Red Hat Quay include alcune funzionalità avanzate tra cui replica geografica, scansione di immagini, rollback di immagini e la possibilità di utilizzare Clair come parte della configurazione OpenShift. 

In quanto membro della Cloud Native Computing Foundation e contributore leader dei progetti delle community open source, Red Hat continuerà a partecipare allo sviluppo di Project Quay.

Red Hat contribuisce in modo significativo alla progettazione di nuove funzionalità per Clair e Project Quay ed esegue inoltre uno dei principali database di vulnerabilità utilizzati da Clair. Red Hat supporta inoltre la più grande installazione di Clair tramite quay.io, che funge da ambiente di test del carico in scenari reali.