CoreOS发布准生产级Clair1.0

四个月前，CoreOS启动了Clair，它是一个开源的容器镜像安全分析器。今天Clair已经升级到1.0，并为在生产环境使用做好了准备。

虽然CoreOS通过准生产级的Clair1.0版本的发布，让其在容器生态系统中又有了区分其他技术的资本。但这真的能让够让CoreOS从类似Docke的言论中走出来吗？

在容器企业中，CoreOS是遥远的二号。这意味着它是众所周知的，它的软件被重视，但是该公司又遵循着一个尴尬的轨迹——先是尝试将Docker容器拆分，然后生产自己的容器产品，例如Rocket。CoreOS已经可以说做好本职工作从Docker的影子中走出来。

但是CoreOS一直在做一个非常重要的领域，那就是Docker所欠缺的安全性。去年十一月，CoreOS宣布开发一个名为Clair的容器扫描仪器，旨在检测容器中的安全漏洞以及帮助开发者自动修补它们。

上周五，CoreOS宣布Clair已准备好生产使用。自去年十一月以来，Clair已经发展为通过递归数据库查询来提供更好的性能，CoreOS说Clair的响应时间提高了三个数量级。Clair1.0还有一个更具可拓展性的RESTful JSON API.

Clair必定在很短时间内扬名。去年秋天CoreOS宣布此工具的时候，很容易认为这就是一个简单的安全扫描仪，它可能会给一些管理员更高的安全性，但是实际上并没有做许多的工作来提高云计算的性能。现在清楚的是，情况并非如此。根据所有迹象来看，Clair1.0是一个复杂、健壮的安全工具，很容易扩展并集成到不同的环境中。

另外，CoreOS让Clair成为最大的卖点，它不仅是一个可以检测安全问题的扫描仪，还是一个补丁。CoreOS表示，这是很重要的，因为容器的目的就是建立一个灵活的、可拓展的基础设施。当安全漏洞出现时，如果你必须手动更新软件，你就失去了很多灵活性。但如果你能以自动化的方式来处理安全问题，你将最大程度从你的云中解放出来。事实上，从某种程度上说，Clair就像云平台，除了替代管理云的工作，它还处理安全方面的问题。

这一切都表示，Clair还有待考察是否足够令人信服，说服云管理员考虑使用CoreOS的容器解决方案而不是Docker。后者在市场上有太多已建立使用的方案，还有大量的资金。另外，你可以使用Clair来扫描Docker容器，就像你使用它扫描CoreOS镜像一样，所以Clair不会仅仅为了得到一个更好的安全性和升级体验，迫使企业使用整个CoreOS平台。

但是Docker的兼容性可能是人们实际使用Clair的因素，反过来，要确保CoreOS得到一片容器使用空间。Docker本身尚未提供如Clair的安全工具，也没有在认真考虑安全性方面发出强有力的信号。通过Clair来填补这一块的空白，虽然不推进平台采用整个CoreOS容器。

原文地址：CoreOS’s Container Security Scanner Reaches Production Quality

CSDN原创文章，禁止转载。