《Clair二次开发指南2——analyze-local-images源码剖析》

最新推荐文章于 2025-06-04 09:01:21 发布
原创 最新推荐文章于 2025-06-04 09:01:21 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细解析了analyze-local-images客户端的工作流程,包括如何将镜像数据发送给Clair进行安全扫描,并获取漏洞报告的过程。通过源码分析,揭示了analyze-local-images与Clair之间的交互细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

我们先分析下analyze-local-images这个客户端,然后在下一篇文章中在分析Clair。这样我们可以很清楚的了解到,analyze-local-images向Clair发送了什么数据。

首先analyze-local-images定义了几个全局变量。代码如下。

const (
	postLayerURI        = "/v1/layers"
	getLayerFeaturesURI = "/v1/layers/%s?vulnerabilities"
	httpPort            = 9279
)

var (
	flagEndpoint        = flag.String("endpoint", "http://127.0.0.1:6060", "Address to Clair API")
	flagMyAddress       = flag.String("my-address", "127.0.0.1", "Address from the point of view of Clair")
	flagMinimumSeverity = flag.String("minimum-severity", "Negligible", "Minimum severity of vulnerabilities to show (Unknown, Negligible, Low, Medium, High, Critical, Defcon1)")
	flagColorMode       = flag.String("color", "auto", "Colorize the output (always, auto, never)")
)


在使用analyze-local-images时,我们可以指定一些参数。

analyze-local-images -endpoint "http://10.28.182.152:6060" -my-address "10.28.182.151" nginx:latest

其中,endpoint为clair主机的ip地址。my-address为运行analyze-local-images这个客户端的地址。

postLayerURI是向clair API V1发送数据库的路由,getLayerFeaturesURI是从clair API V1获取漏洞信息的路由。


analyze-local-images在主函数调用intMain()函数,而intMain会首先去解析用户的输入参数。例如刚才的endpoint。

func intMain() int {  
    //解析命令行参数,并给刚才定义的一些全局变量赋值。  
    ......  
        //创建一个临时目录  
    tmpPath, err := ioutil.TempDir("", "analyze-local-image-")  
    //在/tmp目录下创建以analyze-local-image-开头的文件夹。  
 //为了能够清楚的观察/tmp下目录的变化,我们将defer os.RemoveAll(tmpPath)这句注释掉,再重新编译。  
  
    ......  
    //调用AnalyzeLocalImage方法分析镜像  
    go func() {  
   analyzeCh <- AnalyzeLocalImage(imageName, minSeverity, *flagEndpoint, *flagMyAddress, tmpPath)  
    }()  
}


程序执行流程是main()->intMain()->AnalyzeLocalImage()。现在我们跟进入AnalyzeLocalImage()

镜像被解压到tmp目录下的目录结构如下。



func AnalyzeLocalImage(imageName string, minSeverity database.Severity, endpoint, myAddress, tmpPath string) error {  
    //保存镜像到tmp目录下  
    //调用save方法  
    //save方法的原理就是使用docker save 镜像名先将镜像打包成tar文件  
    //然后使用tar命令将文件再解压到tmp文件中。  
    err := save(imageName, tmpPath)  
    .......  
    //调用historyFromManifest方法,读取manifest.json文件获取每一层的id名,保存在layerIDs中。  
    //如果从manifest.json文件中获取不到,则读取历史记录  
      
    layerIDs, err := historyFromManifest(tmpPath)  
    if err != nil {  
    layerIDs, err = historyFromCommand(imageName)  
    }  
    ......  
    //如果clair不在本机,则在analyze-local-images上开启HTTP服务,默认端口为9279  
    ......  
    //分析每一层,既将每一层下的layer.tar文件发送到clair服务端  
    err = analyzeLayer(endpoint, tmpPath+"/"+layerIDs[i]+"/layer.tar", layerIDs[i], layerIDs[i-1])  
  
    ......  
}  




到这里,程序的执行流程是main()->intMain()->AnalyzeLocalImage()—>analyzeLayer()->getLayer()




func AnalyzeLocalImage(imageName string, minSeverity database.Severity, endpoint, myAddress, tmpPath string) error {

    ......

    //获取漏洞信息
	layer, err := getLayer(endpoint, layerIDs[len(layerIDs)-1])
	//打印漏洞报告
    ......
	for _, feature := range layer.Features {
		if len(feature.Vulnerabilities) > 0 {
			for _, vulnerability := range feature.Vulnerabilities {
				severity := database.Severity(vulnerability.Severity)
				isSafe = false

				if minSeverity.Compare(severity) > 0 {
					continue
				}

				hasVisibleVulnerabilities = true
				vulnerabilities = append(vulnerabilities, vulnerabilityInfo{vulnerability, feature, severity})
			}
		}
	}
	//排序输出报告美化
	.....

}







通过源码分析可知,与clair后端进行交换的两个主要方法为analyzeLayer和getLayer。analyzeLayer向clair发送JSON格式的数据。而getLayer用来获取clair的请求。并将json格式数据解码后格式化输出。







至此,对analyze-local-images的源码已经分析完毕。从中可以可以看出。analyze-local-images做的事情很简单。


就是将layer.tar发送给clair。并将clair分析后的结果通过API接口获取到并在本地打印。那么下一篇文章,我们就深入剖析下clair的源码。







                

        

    

    
  



    



                



	

		

			

				
					
Clair介绍和源码分析

				
			

			

				

					WaltonWang's Blog
				

				

					01-03
					
					2万+
					
				

			

		

		

			
				
Clair源码分析本文主要描述Clair架构、编译、部署、源码分析等内容。

			
		

	



                

            
              



	

		

			

				
					
5款漏洞挖掘扫描工具,网安人必备!

				
			

			

				

					shandongjiushen的博客
				

				

					10-14
					
					7907
					
				

			

		

		

			
				
网安人想挖漏洞赚钱,没有趁手的工具怎么行呢?

			
		

	



              


  
              

                


	

		

			

				
					
Quay/Clair 容器安全扫描工具入门指南

					
最新发布

				
			

			

				

					gitblog_00711的博客
				

				

					06-04
					
					325
					
				

			

		

		

			
				
Quay/Clair 容器安全扫描工具入门指南
前言
Quay/Clair 是一款开源的容器镜像安全静态分析工具,能够帮助开发者和安全团队识别容器镜像中的已知安全问题。本文将详细介绍如何快速上手使用 Clair 进行容器安全扫描。
获取 Clair
Clair 提供多种获取方式:


源码发布包:每个版本都会提供完整的源代码压缩包,包含构建 Clair 所需的所有文件。发布包中还包含了 clair...

			
		

	





	

		

			

				
					
Docker镜像安全扫描工具

				
			

			

				

					kim-yooho的博客
				

				

					06-30
					
					2283
					
				

			

		

		

			
				
镜像是容器的最基础的载体,docker是流行的runtime,其最大的贡献就是把镜像作为容器应用的标准交付方式,镜像包含了容器运行的所有基础文件,可以说镜像的安全决定了容器的安全。--skip-java-db-update 同样java 的漏洞库,每周四凌晨自动更新,也是存在github上,以使用–skip-java-db-update 跳过这一过程。--severity CRITICAL , 指定扫描的严重程度,分为,CRITICAL[紧急],HIGH[高的],MEDIUM[中等],LOW[低的]

			
		

	



		

			
		



	

		

			

				
					
clair:容器的漏洞静态分析

				
			

			

				

					02-02
				

			

		

		

			
				
克莱尔
 注意:在开发过程中, main分支可能处于不稳定甚至断裂的状态。 请使用而不是main分支,以获得稳定的二进制文件。
 Clair是一个开源项目,用于应用程序容器(当前包括和 )中的漏洞。
 客户端使用Clair API索引其容器映像,然后可以将其与已知漏洞进行匹配。
 我们的目标是使基于容器的基础结构的安全性更加透明。 因此,该项目以法语术语“ Clair命名,该术语翻译为清晰,明亮,透明。
 包含有关Clair的体系结构和操作的所有文档。
社区
邮件列表: 
 IRC:freenode.org上的#clair
 错误:
贡献
见上提交补丁和贡献的工作流程的详细信息。
执照
Clair已获得Apache 2.0许可。 有关详细信息,请参见文件。

			
		

	





	

		

			

				
					
drone-clair:无人机插件可使用Clair扫描Docker映像

				
			

			

				

					05-02
				

			

		

		

			
				
使用以下命令构建二进制文件:  go build go test 用法 从工作目录执行:  docker run --rm \  jmccann/drone-clair --url http://clair.company.com --username johndoe \  --password mysecret --scan_image ...

			
		

	





	

		

			

				
					
利用clair-local-scan实现CoreOs Clair的快速本地扫描

				
			

			

				

					
				

			

		

		

			
				
资源摘要信息:"Clair-local-scan是一个工具,它允许用户在本地环境中运行CoreOS Clair,一个用于检测Linux容器(如Docker)中已知漏洞的安全分析工具。Clair服务器通常需要配置一个数据库来存储已知的通用漏洞和暴露...

			
		

	





	

		

			

				
					
Drone-Clair插件:利用Clair扫描Docker镜像的安全性

				
			

			

				

					
				

			

		

		

			
				
给定的压缩包子文件名称列表中只有一个“drone-clair-master”。这表明这是drone-clair项目源代码的主分支的压缩包文件名,用户可以下载并解压这个文件来访问源代码,进行本地构建和使用。  通过上述知识点的阐述,...

			
		

	





	

		

			

				
					
Clair-setup-for-docker-image-scanning:用于静态docker图像和容器扫描的Clair设置

				
			

			

				

					02-18
				

			

		

		

			
				
克莱尔为码头工人设置图像扫描 安装 cd clair-container-scanner-config docker-compose up 分析 docker-compose run --rm clair-scanner postgres:latest

			
		

	





	

		

			

				
					
clair-compose:具有Docker-Compose的Clair漏洞扫描程序

				
			

			

				

					03-10
				

			

		

		

			
				
运行clair适当的下载器,以为目标OS安装clair-scanner 。  苹果电脑 ./mac-download-clair.sh  Linux  TODO  视窗 TODO 正在运行的克莱尔扫描仪 要运行clair-scanner,请执行以下步骤。  确保目标图像存在,无论是...

			
		

	





	

		

			

				
					
clair:一个包含原理,Vue和React组件的设计系统

				
			

			

				

					03-11
				

			

		

		

			
				
克莱尔设计
前提条件
是必需的。 只是忘了npm run 。
开始之前
查看如何出贡献。
开始使用
安装
yarn
开始
# for vue
yarn start vue
# for react
yarn start react
预览网站
# for vue
yarn serve vue
# for react
yarn serve react
 :warning:  :warning:  :warning: 犯罪
请使用yarn commit或npm run commit而不是git commit 。
 如果已安装请使用git cz 。
莱娜
运行纱线命令
yarn lerna run --stream build --scope @clair/helpers
# OR
yarn workspace @clair/helpers build
链接包
yarn lerna add @clair/theme-default pac

			
		

	





	

		

			

				
					
effective_C++、STL源码剖析(中文完整版)、深度探索C++对象模型

				
			

			

				

					11-12
				

			

		

		

			
				
effective_C++、STL源码剖析(中文完整版)、深度探索C++对象模型
effective_C++、STL源码剖析(中文完整版)、深度探索C++对象模型

			
		

	





	

		

			

				
					
STL源码分析和EFFECTIVE

				
			

			

				

					10-23
				

			

		

		

			
				
STL源码分析和EFFECTIVE C++,侯捷书籍,如果有需要可以直接找我

			
		

	





	

		

			

				
					
【Docker】镜像安全扫描工具clairclairctl

				
			

			

				

					阳阳的博客
				

				

					08-12
					
					1万+
					
				

			

		

		

			
				
clair是什么?
clair是一个开源项目,用于静态分析appc和docker容器中的漏洞。
漏洞元数据从一组已知的源连续导入,并与容器映像的索引内容相关联,以生成威胁容器的漏洞列表。  


clair版本选择
clair选择2.0.1版本  


clair安装过程
docker方式
1.clair将漏洞元数据存储在Postgres中,先拉取postgres:9.6
docker pull ...

			
		

	





	

		

			

				
					
【Docker】clair镜像扫描的实现

				
			

			

				

					阳阳的博客
				

				

					11-04
					
					3692
					
				

			

		

		

			
				
clair镜像扫描的实现

一、前言

clair扫描的相关基础请先移步我的另外一篇文章镜像安全扫描工具clairclairctl

这次我们采用clair api方式的扫描,基本思路是

打包镜像
	解压tar包至tomcat的ROOT目录,得到每一个镜像的分层文件及描述文...

			
		

	





	

		

			

				
					
docker基础:私库系列:再探Harbor:(5)集成clair

					
热门推荐

				
			

			

				

					知行合一 止于至善
				

				

					08-21
					
					1万+
					
				

			

		

		

			
				
Clair是CoreOS提供的一款根据CVE的信息确认镜像各层安全状况的开源工具,harbor集成了clair到其功能之中,这也是和其他同类工具相比一个突出的亮点,而在其集成的实现中,首先clair的功能依然是靠其官方镜像和postgres结合形成,而扫描之后的信息则通过harbor自身的数据库进行保存。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
MXi4oyu

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值