Clair是一款对容器漏洞进行静态分析的安全性工具,由quay开发和维护。
介绍
工作原理,根据 CVE(Common Vulnerabilities and Exposures,通用漏洞披露)
等漏洞库来扫描容器的每一个层,查看是否有漏洞。
组成结构
Clair主要包括以下模块:
- 获取器(Fetcher):从公共漏洞源收集漏洞数据
- 检测器(Detector:指出容器镜像中包含的Feature
- 数据库(Databases):存储容器中各个层以及漏洞
- 容器格式器(Image Format):Clair已知的容器镜像格式,包括Docker,ACI
- Worker:每个Post Layer都会启动一个worker进行Layer Detect
- 通知钩子(Notification Hook):当新的漏洞被发现时或者已经存在的漏洞发生改变时通知用户/机器
部署
https://quay.github.io/clair/howto/deployment.html