Clair 是一个开源的容器镜像静态漏洞分析引擎,提供对镜像各层和软件包元数据的安全扫描与索引。它通过比对漏洞数据库生成可查询的报告与告警,便于在镜像仓库、CI/CD 流水线和自动化审查中集成。
核心功能与特色
- 静态分析:逐层扫描镜像内容,识别 CVE 与已知弱点。
- 索引与比对:将镜像内容索引化以支持高效查询和历史对比。
- 开放 API:通过
clair的 HTTP API 与注册表、构建系统或告警平台集成。
适用场景与目标用户
- 面向镜像仓库运营者、DevOps、SRE、安全团队以及在构建/部署阶段希望提前发现安全问题的开发者。
- 适合用于 CI/CD 阶段的自动扫描、镜像发布审核、注册表安全硬化与合规检测。
主要优势或亮点
- 开源且可自托管:社区维护,便于定制和私有部署。
- 与漏洞数据库(如 NVD 与发行版安全源)同步,提供可审计的检测结果。
- 可扩展并支持自动化管道,降低运行时安全风险并提高发现与修复效率。