这家新近重新起名的公司表示，只靠寻找已知问题并不能找到容器中的漏洞。

应用容器领域的新兴市场十分不稳定，这也是Scalock如今将自己更名为Aqua Security的原因之一。在经过几个月的测试之后，Aqua Container Security平台在5月18日公开发布，为那些想要寻找容器安全解决方案的企业提供了又一条可行路径。

Aqua Security公司联合创始人、CTO阿米尔·杰比 (Amir Jerbi) 对媒体解释了从Scalock换为现行公司名称的原因：“就像在初创企业之间很常见的那样，最初选择的名字往往被证明与公司的业务目标不合。由于我们所处的领域是DevOps和安全的结合点，我们想要从字面上看上去流动性更强的名字。”（注：Aqua，有水的含义。）

Aqua Security在公司于2015年创建之后募集到了435万美金。容器安全从整体上来看在去年发展迅速，CoreOS发布了容器安全技术Clair；Docker Inc.发布了Docker Security Scanning和Twistlock，首次涉及容器安全技术。Aqua的目标是在扫描应用容器之上更进一步，寻找已知的漏洞。

杰比解释称，Aqua的分区漏洞搜索有点像Docker公司的技术。在搜索中，Aqua会寻找分区上所有的二进制文件，包括编程语言组件。与Docker的不同之处在于，Aqua在Docker库之外，还支持亚马逊ECS、CoreOS Quay、JFrog Afrtifactory和私有registry。

杰比说：“我们还提供一个叫做Peekr的SaaS扫描器，开发者可以用它来扫描公有或私有分区上的库。我们会持续进行开发，随着市场变化进行改进。”

Aqua并不只关注应用漏洞扫描，还提供了一定程度的runtime保护。杰比称，Aqua使用一种分层的安全方法保证容器安全。这种分层方法最开始会使用学习模式运行容器应用分区，这通常出现在功能性测试中。在学习模式中，Aqua在应用运行环境中检测容器的行为，并使用它来根据容器使用的文件、可执行文件和网络连接的不同设定颗粒化runtime变量。

最关键的是，我们提供定制于容器或应用的用户访问控制策略。此外，我们根据应用提供网络控制。最后，我们也会通过监控寻找恶意行为，比如端口扫描、套接字炸弹等。

因此，Aqua平台在学习过程中融合了声明性和行为性的方法，作为保护容器分层技术的一部分。另一个容器整体安全领域的关键要素是作为主机的Linux操作系统中现有的控制。

“只要有用，我们就会利用原生Linux安全控制。比如，我们使用netfilter和cgroup，控制容器活动。我们使用自己的技术来填补颗粒化容器特制控制的薄弱之处，因为Linux安全控制是在操作系统资源层面上工作的，它们无法理解容器实体。”

Aqua是Linux基金会的开放容器计划 (Open Container initiative, OCI) 的一部分，其目标是确定容器的标准。杰比提示称，OCI仍旧处于早期阶段，但他表示整个行业十分需要在标准和可共享技术方面达成一致。

“作为容器格式的一种，Docker显然是如今最流行的。但我们的确看到了人们使用其它技术。目前我们支持Docker，但也计划支持与runc相合的其它引擎。