本文讲的是红帽团队与Black Duck一起让容器更安全,
【编者的话】Black Duck Software将其Black Duck Hub分析工具集成到红帽的PaaS产品中,将致力于容器安全检测。
Black Duck Software,一个对 开源代码库扫描和已知软件漏洞检测 的软件开发公司,正与红帽公司一起把Black Duck Hub分析工具集成到红帽的OpenShift PaaS产品。
开源在企业中的不断增长,随之而来还需要明白一件事情,开源并不意味着没有漏洞。
据 Red Hat 和Black Duck消息,在合作的第一阶段包括扫描使用OpenShift注册的全部容器。Black Duck Hub具有“超过10万著名的开源漏洞详细资料涵盖超过3500亿行代码”,并且新的漏洞会不断添加到Black Duck Hub。
由于扫描过程的重点是组件而不是整个应用程序,所以它会分析容器的内容,无论它们是第三方应用程序还是通过开源组件内部创建的。
对容器安全漏洞的问题一直被社区议论纷纷。容器是不可变的,这意味着在生产使用时,其中的软件不被改变。但是这也意味着该软件的任何缺陷也会保持不变,除非对容器手动更新。这个问题会变的进一步复杂,如果容器因再现性而 故意不更新 。Black Duck Hub可以对在需要继续使用的老软件存在的漏洞提供进一步了解。
Black Duck的开源工具最初的设计是 审核 企业是否无意中在他们的项目中使用违反开源许可的代码。 许可合规功能 依然是Black Duck Hub的一部分, 但安全和漏洞扫描现在可以说是更受企业的关注。对许可的讨论只会在开源应用程序转化为公共使用时有影响,但是理论上讲漏洞会影响任何应用程序,无论公用还是私用。
原文链接:Red Hat teams with Black Duck to keep containers secure(翻译:朱高校)
原文发布时间为:2015-10-21
本文作者:unodba
本文来自云栖社区合作伙伴DockerOne,了解相关信息可以关注DockerOne。
原文标题:红帽团队与Black Duck一起让容器更安全
