CoreOSが昨年11月に最初のプレビューを発表した、DockerコンテナのセキュリティチェックツールClairが今日、ベータを終了してClair 1.0のローンチに到達した。
デベロッパーは既製のコンテナに依存することが多く、同じものを再利用することもよくあるから、その中のソフトウェアを安全に保つことはきわめて重要だ。しかも問題はマルウェアばかりではなく、セキュリティの弱点があると分かっている旧版のパッケージが、そのまま使われていることもありえる。
CoreOSが同社のコンテナレジストリQuayにあるコンテナを調べたところ、検出された脆弱性の約70%は、コンテナの中にあるパッケージをアップグレードするだけで解消するものだった。
“インストールされているソフトウェアを最新バージョンにアップデートすれば、インフラストラクチャの全体的なセキュリティも向上する。したがってコンテナイメージのセキュリティ脆弱性を分析することと並んで、Clairが見つけたそれらの問題を解決するアップデートのための、明確な手順や方式を確立しておくことが重要である”、と同社は主張している。“コンテナイメージは頻繁にアップデートされないことが多いが、しかしClairのセキュリティスキャンニングにより、ユーザーは問題のあるイメージをより容易に見つけてアップデートできる”。
CoreOSによると、最初の発表から今日のv.1.0までに、多くの変更をClairに加えている。それらは、サービス全体をより拡張しやすくすることや、REST APIの改良などだが、Clair 1.0でいちばん重要なのは、検出された脆弱性の詳細説明が提供されることだろう。
