红帽团队与Black Duck一起让容器更安全

jopen 8年前
原文  http://dockone.io/article/755
 

【编者的话】Black Duck Software将其Black Duck Hub分析工具集成到红帽的PaaS产品中,将致力于容器安全检测。

Black Duck Software,一套对 开源代码库扫描和已知软件漏洞检测 的系统开发公司,正与红帽公司一起把Black Duck Hub分析 工具集成到红帽的OpenShift PaaS产品。

开源在企业中的不断增长,随之而来还需要明白一件事情,开源并不意味着没有漏洞。

[InfoWorld推出的Bossies - 今年最好的开源产品 。我通过InfoWorld's Linux report newsletter 跟踪开源领域最新趋势。 ]

Red Hat 和Black Duck,在合作的第一阶段包括扫描使用OpenShift注册的全部容器。Black Duck Hub具有“超过10万著名的开源漏洞详细资料涵盖超过3500亿行代码”,并且新的漏洞随着被发现会不断添加到Black Duck Hub。

由于扫描过程的重点是组件而不是整个应用程序,它会分析容器的内容,无论它们是第三方应用程序还是通过开源组件内部创建的。

对容器安全漏洞的疑虑不易消除。容器是不可变的,这意味着在生产使用时,其中的软件不被改变。但是这也意味着该软件的任何缺陷也会保持不变,除非对容器手动更新。这个问题会变的进一步复杂,如果容器因再现性而故意不更新。Black Duck Hub可以对在需要继续使用的老软件存在的漏洞提供进一步了解。

Black Duck的开源工具最初的设计是 审核 企业是否无意中在他们的项目中使用违反开源许可的代码。 许可合规功能 依然是Black Duck Hub的一部分, 但安全和漏洞扫描现在可以说是更受企业的关注。对许可的讨论只会在开源应用程序转化为公共使用时有影响, 但是理论上讲漏洞会影响任何应用程序,无论公用还是私用。

原文链接: Red Hat teams with Black Duck to keep containers secure (翻译:朱高校)