Um dem Problem unsicherer Container-Images zu begegnen, hat CoreOS einen spezialisierten Security-Scanner unter einer freien Lizenz veröffentlicht.
CoreOS hat unter dem Namen Clair ein neues Tool veröffentlicht, mit dem sich Container-Images auf Sicherheitslücken überprüfen lassen. Dabei handelt es sich um einen spezialisierten Security-Scanner, der die diversen Schichten analysiert, aus denen etwa Docker-Images typischerweise bestehen.
Ein Sicherheitsproblem von Containern resultiert unter anderem daraus, dass Anwender Docker-Images erzeugen, sie in ein Image-Repository hochladen und sich dann nicht weiter darum kümmern. Werden irgendwann in einer Softwarekomponente Sicherheitslücken gefunden, werden diese in den seltensten Fällen in alten Images gefixt, die arglose Anwender aber weiterhin herunterladen und auf einem Container-System einsetzen. Ein Beispiel dafür ist die SSL-Sicherheitslücke Heartbleed , die CoreOS beim Einsatz des Clair-Scanners auf dem eigenen Image-Repository Quay in 80 Prozent aller Images vorgefunden hat.
Clair greift auf die Datenbank an Sicherheitslücken der Common Vulnerabilities and Exposures Database (CVE) und vergleichbare Quellen von Red Hat, Ubuntu, und Debian zurück. Die Ergebnisse bereitet es übersichtlich auf und verschickt im Fall einer gefundenen Sicherheitslücke eine Benachrichtigung per E-Mail. Der Quellcode ist im Github-Repository von Clair zu finden.
Das Container-Scanning-Tool unterstützt jetzt mehr Basis-Systeme.