Avec Clair, CoreOS scrute les failles de sécurité des conteneurs

CoreOS lance officiellement Clair 1.0, un outil pour analyser la sécurité des images de conteneurs, avec pour ambition de rassurer les entreprises sur cette technologie.

Docker et CoreOS se combattent sur le terrain de la technologie des conteneurs. Mais ils ont des intérêts communs quand il s’agit d’accélérer l’adoption de cette conteneurisation des applications au sein des entreprises. Le principal obstacle à lever ? La sécurité. Un verrou que CoreOS entend bien faire sauter avec le lancement officiel de Clair 1.0, un outil Open Source d’analyse des failles de sécurité des images des conteneurs.

[[Lire notre dossier : Docker : déjà bon pour le service ?]]

Les développeurs comptent souvent sur des conteneurs pré-packagés ou recyclent régulièrement les mêmes. Il faut donc veiller à ce que le logiciel embarqué soit sécurisé et à jour. En effet, la présence de malwares ou la présence de paquets obsolètes au sein des conteneurs est susceptible d’ouvrir des brèches dans les SI.

L’absence de mise à jour, ennemi n°1

Depuis novembre dernier, CoreOS a testé la solution Clair sur sa base d’images de conteneurs, Quay Container Registry. Cette expérience a montré que 70% des vulnérabilités découvertes pouvaient être résolues en mettant à jour les packages des conteneurs. « Les upgrades vers les dernières versions des logiciels améliorent la sécurité globale de l’infrastructure, mais ils sont réalisés de manière irrégulière. Il est donc important d’analyser les images des conteneurs pour trouver les failles et d’être aidé pour recenser les upgrades à réaliser », explique la start-up.

CoreOS précise que son outil a bénéficié de plusieurs modifications à l’issue de sa version bêta (schema ci-dessous). Quentin Machu, ingénieur logiciel chez CoreOS, donne quelques exemples d’améliorations dans un billet de blog. Un des goulets d’étranglement de la solution résidait dans l’interaction avec la base de données. Un travail sur l’abstraction de la base de données a été réalisé en passant par une implémentation de PostgreSQL 9.4. « En tirant parti des requêtes récursives, il est possible d’émuler un équivalent de graphe capable d’avoir les performances d’une base de données SQL. En améliorant les réponses de l’API, nous avons amélioré sensiblement les temps de réponses en production en passant de 30 secondes à 30 millisecondes », précise l’ingénieur. De même, un effort a été mené sur l’API Rest de Clair et son extension à d’autres workflow ou autres systèmes. Clair en version 1.0 est disponible sur GitHub.

coreos_clair_schema

A lire aussi :

CoreOS lance sa Rocket 1.0 contre Docker

Conteneurs : un format unique pour réconcilier Docker et CoreOS