概述
Clair是一个开源项目,它提供了一个工具,通过对 appc 和docker容器中漏洞的静态分析来监控容器的安全性。Clair 是一个API驱动的分析引擎,可以逐层检查容器是否存在已知的安全漏洞。使用 Clair,您可以轻松构建为容器漏洞提供持续监控的服务。
克莱尔的工作原理
Clair的分析分为三个不同的部分。
索引
索引从向 Clair 提交清单开始。收到后,Clair 将获取层、扫描其内容并返回一个称为 IndexReport 的中间表示。
[hidecontent type="logged" desc="隐藏内容:登录后可查看"]
清单是 Clair 对容器映像的表示。Clair 利用 OCI 清单和层是内容寻址这一事实来减少重复工作。
一旦 Manifest 被索引,IndexReport 将被保留以供以后检索。
匹配
匹配采用 IndexReport 并关联影响报告所代表的清单的漏洞。
Clair 不断摄取新的安全数据,并且对匹配器的请求将始终为您提供最新的 IndexReport 漏洞分析。
ClairCore 的文档中详细介绍了我们如何实现索引和匹配。
通知
Clair 实现了一个通知服务。
当发现新漏洞时,通知程序服务将确定这些漏洞是否影响任何索引清单。然后通知程序将根据其配置采取行动。
[/hidecontent]
