Компания Red Hat, ведущий поставщик решений с открытым исходным кодом, объявила о запуске нового интерфейса, позволяющего подключать к платформе Red Hat OpenShift Container Platform (ранее OpenShift Enterprise) созданные партнерами Red Hat сканеры безопасности контейнеров. Технология контейнеров миновала стадию экспериментов и стала частью корпоративной реальности, что выводит на первый план вопросы безопасности. Интеграция платформы Red Hat сразу с несколькими сторонними сканерами контейнеров позволяет заказчику точнее понять, что именно работает в том или ином контейнере и используются ли в нем новейшие исправления безопасности. Описываемая функциональность реализована в рамках последней версии Red Hat Enterprise Linux Atomic Host, операционной системы, лежащей в основе решения Red Hat OpenShift Container Platform.
В рамках расширения сотрудничества с Black Duck Software компания Red Hat интегрировала в Atomic Host открытый инструментарий Black Duck Hub в качестве сканера безопасности контейнеров. Этот сканер обеспечивает углубленную проверку многих компонентов с открытым кодом, используемых в пользовательском пространстве ОС, а также приложений и библиотек, которые могут вноситься в состав контейнеров разработчиками. Сканер проверяет контейнер на наличие известных уязвимостей в отрытом ПО и динамически отслеживает содержимое контейнера, выдавая предупреждения при появлении новых уязвимостей, относящихся к программному коду контейнера. Black Duck Hub работает как часть Atomic Host и позволяет проконтролировать безопасность всех контейнерных образов и компонентов на всем протяжении жизненного цикла — от разработки до промэксплуатации — и вне зависимости от размеров масштабирования системы.
Кроме того, для проверки безопасности контейнеров в составе Red Hat Enterprise Linux Atomic Host имеется предварительная версия сканера OpenSCAP. Проект OpenSCAP (Open Security Content Automation Protocol) — это экосистема инструментов и политик для оценки, измерения и применения мер безопасности в сфере ИТ. Сканер OpenSCAP интегрирован с Atomic Host и проверяет содержимое контейнеров, помогая оперативно выявлять уязвимости.
Кроме того, новая версия Atomic Host предлагает следующие дополнительные новшества:
- Обновленные среды выполнения контейнеров — Docker или Open Container Initiative (OCI), по выбору пользователя.
- Улучшенная интеграция systemd — упрощает перенос существующих приложений в контейнеры.
- Улучшенный режим обновления — оперативные программные исправления между выпусками основных версий.
- Графическая консоль управления — упрощает выполнение задач администрирования, в том числе обновление через службу удаленного управления Cockpit.
Тим Ейтон (Tim Yeaton), старший вице-президент Red Hat и руководитель подразделения Infrastructure Business Group: «Заказчиков, безусловно, привлекает оперативность, которую дают контейнеры, но они не готовы рисковать критически важными системами и приложениям, полагаясь на контейнеры с неизвестным содержанием или не обеспеченные поддержкой. Именно поэтому Red Hat уделяет столько внимания безопасности контейнеров. И хотя безопасность важна во всех отраслях, универсальных решений, которые подошли бы всем заказчикам, не существует, особенно с учетом разнообразия сценариев развертывания Linux-контейнеров. Это действительно большая проблема, и новая версия Red Hat Enterprise Linux Atomic Host с упрощенной интеграцией сторонних сканеров безопасности позволяет организации выбрать именно тот сканер, который подходит ей лучше остальных».
Лу Шипли (Lou Shipley), генеральный директор Black Duck: «Каждый новый опрос лишь подтверждает, что корпоративные заказчики полны желания использовать контейнеры из-за их преимуществ в плане производительности и затрат. Однако те же опросы указывают и на серьезную обеспокоенность, поскольку вопрос безопасности и доверенности контейнеров по-прежнему остается открытым. Интеграция продуктов Black Duck и Red Hat — это большой шаг на пути к созданию модели контейнеров с большей безопасностью и доверенностью».