آخرین نسخهی Red Hat Enterprise Linux دارای دو مکانیسم اسکن مجتمع در لینوکس میباشد که به منظور یافتن آسیبپذیریها و Block نمودن راه ورود آنها به برنامههای Containerشده، به طور مستقیم مورد استفاده قرار میگیرد.
شرکت Red Hat به طراحی مجدد Containerها پرداخته که اجزای امنیتی آنها، به عنوان بخشی از این اقدامات معرفی شده است. این شرکت طی روزهای اخیر، دو روش برای اسکن امنیتی Container در سیستمعامل Enterprise خود معرفی نموده است.
جدیدترین نسخه از ویژگیهای فعلی Enterprise Linux Red Hat و OpenShif، اولین مورد استفاده از این دو تکنولوژی میباشد. همکاری دو شرکت Red Hat و Black Duck Software از اکتبر سال گذشته به منظور ارائه ابزارهای تحلیل Container مربوط به شرکت Black Duck به عنوان بخشی از OpenShift آغاز گردید. هر دو شرکت از این همکاری به نوعی نفع خواهند برد: شرکت Red Hat به برنامههایی با میزبانی OpenShift دست یافت که کمتر در معرض خطر آسیبهای رایج قرار داشتند و علاوه بر آن شرکت Black Duck نیز به یک تکنولوژی دست پیدا نمود که نسبت به سیستم ممیزی متن باز قبلی برای ارائه License بهروزتر بود.
این بخش جدید عمق همکاری میان Black Duck و Red Hat را نشان میدهد. در ابتدا، این همکاری به اسکن نمودن Containerها در رجیستری تصویرِ OpenShift محدود بود، اما در حال حاضر، پشتیبانی از موتور اسکن Black Duck نیز به Red Hat Enterprise Linux Atomic Host اضافه گردیده است و سیستمعامل به عنوان زیرلایهای برای OpenShift استفاده مینماید. خلاصه اینکه برای بهرهمندی از مزایای اسکن دیگر نیازی به OpenShift نمیباشد، بلکه میتوان این امکانات را مستقیما از جدیدترین نسخه RHEL دریافت نمود.
همچنین Red Hat یک پیشنمایش از تکنولوژی Scanning خود از پروژهی (Open Security Content Automation Protocol (OpenSCAP را به اسکن Container خود در Atomic Host اضافه نموده است. در واقع پروژه OpenSCAP، اجرای متن بازِ یک پروتکل عمومی با هدف ارائه گزارش در مورد آسیبپذیریهای نرمافزاری میباشد و قبلا توسط Red Hat و Suseپیادهسازی شده است. در این پروژه، از این تکنولوژی جهت بهکارگیری ابزارها و سیاستهای ارزیابی، سنجش و اجرای اقدامات امنیتی IT برای محتوای Containerها و نه فقط برای سیستمهای RHEL ، استفاده شده است.
تکنولوژی اسکن Containerها به طور کلی در پاسخ به محبوبیت Containerها بوجود آمده است. راهکار First-Party شرکت Docker که Docker Security Scanning نام دارد، به عنوان بخشی از سرویس ارسال برنامه Hostشدهی Docker Cloud ارائه میشود. تکنولوژی Third-Party شرکت Twistlock نه تنها سرویس اسکن محتوا، بلکه تحلیل و ممیزی رفتاری را نیز ارائه میدهد تا در مواقع عملکرد نادرست نرمافزاری (Software Behaving Badly)، هیچگونه ناهنجاری و اختلالی روی سیستم ناشناخته باقی نماند. شرکت گوگل بهاندازهای برای Twistlock ارزش قائل بود که آن را در فهرست پلتفرم Google Cloud برای سرویسهای Container اضافه نمود.
رویکرد Red Hat بدین صورت است که چندین مکانیسم اسکن و محافظت را مستقیما در پلتفرم اصلی خود مجتمع نموده و فرآیند پشتیبانی Container در آنجا را تکمیل نماید. بهجای ارائهی این تکنولوژی از طریق یک راهکار Hostشده، میتوان آن را به عنوان بخشی از زیرلایهی مورد استفاده برای ایجاد راهکارهای Hostشده اخیر در نظر گرفت.
بهنظر نمیرسد که راهکارهای Container در مقیاسهای کوچکتر نظیر ویرایشهای دسکتاپ Docker، دارای روندهای محافظت ارائه شده در این پکیج باشند. این راهکارها بیشتر مناسب انواعی از Bundling میباشند که شرکت Red Hat برای RHEL و OpenShift در نظر دارد که میتواند چنین محافظتی را از برنامه در یک مقیاس وسیع بهکار گیرد.
