克莱尔通用漏洞披露数据库(CVE)以及红帽 ®、Ubuntu和Debian的类似数据库来扫描每个容器层,并提供有关可能构成威胁的漏洞的通知。由于层可以在多个容器之间共享,因此自检功能对于构建软件包清单并使之与已知的 CVE公司相匹配至关重要。
克莱尔还引入了对编程语言软件包管理器的支持,最先支持的是 蟒蛇,随后新增了面向镜像的 API
自动检测漏洞将帮助提高跨开发和运维团队的意识和最佳安全实践,促进他们采取操作来修补和解决漏洞。当发布新漏洞时,克莱尔便会立即知晓哪些现有层存在漏洞并发送通知,而不必重新扫描。
例如,CVE-2014-0160即“心跳加速”已经发布一段时间了,而红帽 码头安全扫描发现对于用户存储在 码头上的相当一部分容器镜像,它仍是潜在威胁。
应注意,漏洞通常依赖于特定的条件才能被利用。例如,仅当安装并使用容易被攻击的 OpenSSL,心跳加速。克莱尔不适合于这种程度的分析,团队仍应根据需要采取更深入的分析。