[发明专利]一种容器的安全检测方法、装置及设备

说明书

本申请公开了一种容器的安全检测方法、装置及设备，在检测进程的命名空间中由检测进程启动安全代理进程，将安全代理进程切换到待检测的目标容器进程的命名空间中。检测进程控制安全代理进程与标容器进程建立通信连接，从而由安全代理进程实现检测进程与目标容器进程之间的通信。具体的，检测进程向安全代理进程发送安全检测指令，安全代理进程向目标容器进程转发该安全检测指令。目标容器进程响应该安全检测指令产生待检测数据，安全代理进程再将待检测数据发送给检测进程进行安全检测。则检测进程仅和安全代理进程保持通信，并不会直接切换到目标容器进程的命名空间中，可以保证检测进程的安全性。

技术领域

本申请涉及计算机技术领域，具体涉及一种容器的安全检测方法、装置及设备。

背景技术

计算机技术领域中的容器一般运行在操作系统之上，使用操作系统自身支持的机制，提供了相对独立的应用程序运行的环境。在需要对容器的工作负载进行安全检测时，由于被检测的容器进程与检测进程在不同的命名空间中，需要将检测进程切换到被检测容器进程的命名空间中。

但是，被检测的容器进程有可能被恶意进程控制，则容器进程的运行环境可能不安全，当检测进程切换到被检测容器进程的命名空间后，检测进程的安全性无法保证，由于检测进程一般具有比较高的权限，会导致更严重的风险。

发明内容

有鉴于此，本申请实施例提供一种容器的安全检测方法、装置及设备，以提高检测进程进行容器安全检测时的安全性。

为解决上述问题，本申请实施例提供的技术方案如下：

第一方面，本申请实施例提供一种容器的安全检测方法，所述方法包括：

在检测进程的命名空间启动安全代理进程；

通过所述检测进程向所述安全代理进程发送切换命名空间指令，所述切换命名空间指令包括目标容器进程的标识，用于指示所述安全代理进程由所述检测进程的命名空间切换到所述目标容器进程的命名空间；

通过所述检测进程向所述安全代理进程发送注入指令，所述注入指令包括所述目标容器进程的标识，用于指示所述安全代理进程与所述目标容器进程建立通信连接；

通过所述检测进程向所述安全代理进程发送安全检测指令，并指示所述安全代理进程向所述目标容器进程转发所述安全检测指令；

通过所述检测进程从所述安全代理进程获取所述目标容器进程响应所述安全检测指令产生的待检测数据，对所述待检测数据进行安全检测。

第二方面，本申请实施例提供一种容器的安全检测方法，所述方法包括：

在检测进程的命名空间启动安全代理进程之后，通过所述安全代理进程接收所述检测进程发送的切换命名空间指令，所述切换命名空间指令包括目标容器进程的标识；

通过所述安全代理进程响应于所述切换命名空间指令由所述检测进程的命名空间切换到所述目标容器进程的命名空间；

通过所述安全代理进程接收所述检测进程发送的注入指令，所述注入指令包括所述目标容器进程的标识；

通过所述安全代理进程响应于所述注入指令，与所述目标容器进程建立通信连接；

通过所述安全代理进程接收所述检测进程发送的安全检测指令，向所述目标容器进程转发所述安全检测指令；

通过所述安全代理进程获取所述目标容器进程响应所述安全检测指令产生的待检测数据，将所述待检测数据发送给所述检测进程。

第三方面，本申请实施例提供一种容器的安全检测装置，所述装置包括：

启动单元，用于在所述检测进程的命名空间启动安全代理进程；