[发明专利]基于依赖关系的容器镜像库安全评估系统及方法

说明书

本发明提供了一种基于依赖关系的容器镜像库安全评估系统及方法，包括管理节点和检测节点，管理节点和检测节点之间交换数据协同工作；管理节点完成容器仓库内容器镜像依赖关系树的构建以及容器镜像依赖关系树的更新，下发容器镜像检测任务；检测节点接收下发的容器镜像检测任务，容器镜像检测任务对容器镜像进行完整的安全检测；若容器镜像存在安全隐患，下发子镜像检测任务给检测节点；检测节点下发的子镜像检测任务，在容器镜像依赖关系树中寻找容器镜像的所有子镜像，检测出现安全隐患的文件在子镜像中是否被修复。本发明有利于评估漏洞影响范围、有利于检测容器镜像内存在的安全隐患，具有大规模分析容器镜像库内镜像的安全性的效果。

技术领域

本发明涉及容器镜像库安全评估的技术领域，具体地，涉及一种基于依赖关系的容器镜像库安全评估系统及方法。

背景技术

基于容器技术的虚拟环境部署、运行软件的模式带来了极大的便利性，一次编译多次部署的方式，带来了日益增长的用户需求。其中Docker、Red Hat、Google等大型厂商纷纷建立了包含了海量容器镜像的官方存储仓库。与此同时，其容器生态环境中的安全问题也不断发生，特别是存储仓库中混入了不安全的镜像之后，由于镜像之间存在各种复杂的依赖关系，用户可以自由选择生成一个可能依赖了某个不安全镜像的新实例，因此，如何快速评估其在存储仓库中的影响范围是一个迫切需要解决的难题，特别是在高危安全漏洞爆发的初期，能够快速准确的评估影响范围，将为防范安全事件争取到响应时间。

公开号为CN108958890A的中国发明专利公开了一种容器镜像检测方法、装置及电子设备，该方法包括：通过对待测容器镜像进行静态扫描，从待测容器镜像的软件特征集合中获取待匹配软件特征；将该待匹配软件特征与预设的软件漏洞库中存储的软件漏洞特征进行比较；如果软件漏洞库中存在与上述待匹配软件特征相匹配的软件漏洞特征，确定该相匹配的软件漏洞特征对应的测试用例集；针对上述待匹配软件特征对应的软件，通过执行上述测试用例集中的测试用例，检测上述待匹配软件特征对应的软件是否存在软件漏洞；当存在软件漏洞时，确定待测容器镜像存在异常。此专利是通过检测待匹配软件特征对应的软件是否存在软件漏洞，从而实现待测容器镜像的检测。

当前的评估方法通常需要在针对仓库中的每个镜像运行检测工具。

针对上述中的现有技术，发明人认为此方法的难题是需要消耗大量的时间去下载镜像到本地评估，因此，在安全漏洞爆发的时刻，很难在短时间内完成对大体量的容器镜像库的安全评估方法。

发明内容

针对现有技术中的缺陷，本发明的目的是提供一种基于依赖关系的容器镜像库安全评估系统及方法。

根据本发明提供的一种基于依赖关系的容器镜像库安全评估系统，包括管理节点和检测节点，管理节点和检测节点之间通过交换数据从而协同工作；

所述管理节点：完成容器仓库内容器镜像依赖关系树的构建以及容器镜像依赖关系树的更新，下发容器镜像检测任务；

所述检测节点：接收下发的容器镜像检测任务，容器镜像检测任务对容器镜像进行完整的安全检测，得出并发送镜像检测结果；若容器镜像存在安全隐患，下发子镜像检测任务给检测节点；检测节点下发的子镜像检测任务，在容器镜像依赖关系树中寻找容器镜像的所有子镜像，检测出现安全隐患的文件在子镜像中是否被修复；得出并发送镜像检测结果。

优选的，所述管理节点包括关系模块、任务管理模块和数据处理模块，

所述关系模块：依据依赖关系生成算法将容器镜像库内的容器镜像关系合并成容器镜像依赖关系树，并在容器镜像发生变化时实时更新容器镜像依赖关系树；

所述任务管理模块：定时检查容器镜像库安全性，对容器镜像依赖关系树逐层分发容器镜像检测任务至检测节点；

所述数据处理模块：接收检测节点所回传的镜像检测结果，并将镜像检测结果保存。