Container安全誰來顧？CoreOS釋出新容器漏洞掃描工具Clair，自動幫你層層找漏洞

在Container中可以一層層打包多種微服務來組成一個應用系統所需環境，但哪一層微服務有漏洞或有新版修補程式而未更新，如何快速找出來？CoreOS釋出了一個API式的容器漏洞分析引擎Clair，可以自動掃描在Container內打包的每一層應用服務，比較公開的漏洞資料庫CVE（Common Vulnerabilities and Exposures）上的漏洞資料，來幫開發者快速找出哪些Container內哪些層中的潛在資安威脅或未修補漏洞。

Clair引擎正是CoreOS自家容器安全掃描服務Quay的核心分析引擎，例如最近CoreOS統計，目前上傳到Quay資安分析服務上檢查的Docker映象檔中，有8成仍有Heartbleed（心臟淌血漏洞）。這個漏洞從2014年4月揭露至今超過1年半，但仍有開發者封裝的Docker印象檔內的應用程式還未修補這個漏洞。

Clair官方更多介紹https://coreos.com/blog/vulnerability-analysis-for-containers/

如何用Clair自動掃描Docker映象檔的安全漏洞，官方示範影片在此