Clair：CoreOS发布的开源容器漏洞分析工具

Clair为何而生：提升安全

软件世界里，安全漏洞会一直存在。好的安全实践意味着要对可能出现的事故未雨绸缪 - 即尽早发现不安全的软件包，并准备好快速进行升级。而Clair就是设计来帮助你找出容器中可能存在的不安全软件包。

要理解系统会受到哪些威胁威胁是一个劳力伤神的事情，尤其当你应对的环境是异构或者动态的的时候。Clair的目标是让任何开发者都能增强对容器基础设施的洞见的能力。甚至于，让团队能在漏洞出现时，能够找到方案并且修复漏洞。

Clair工作原理

Clair对每个容器layer进行扫描，并且对于那些可能成为威胁的漏洞发出预警。它的数据是基于Common Vulnerabilities and Exposures数据库(常见的漏洞和风险数据库，简称CVE)，和Red Hat，Ubuntu和Debian的类似数据库。因为layer可以在很多的容器之间共享，审查至关重要，然后才能构建一个软件包的大仓库，并且与CVE数据库进行比对。

漏洞的自动检测能帮助提升对漏洞的认知，在开发及运维团队里实施最佳安全实践，和促使漏洞的修复并解决。当新的漏洞公布出来，所有已有的layer都会被重新扫描，并且发出相应的预警。

例如，CVE-2014-0160，又被称作Heartbleed（心脏出血），已经闻名18个月了，然而Quay的Scanning发现对于Quay平台上的近80%的用户Docker镜像它仍然其一个潜在的威胁。就如CoreOS包含一个自动更新的工具，能在操作系统层修复Heartbleed一样，我们希望这个工具能在容器的层面上，提升安全性，并且帮助CoreOS成为运行容器的一个最安全的地方。