[发明专利]一种镜像安装包信息的扫描方法及设备

说明书

本发明提供了一种镜像安装包信息的扫描方法，包括如下步骤：指定镜像仓库中存在的repo：tag列表；对repo：tag列表中的镜像进行遍历。其中，所述对repo：tag列表中镜像进行遍历的步骤包括：下载与repo：tag列表对应的镜像manifest文件到本地；解析镜像manifest文件；核对manifest文件；下载镜像文件；对镜像文件的数据进行扫描。本发明通过对相关镜像manifest文件的核对，避免镜像的重复扫描和重复下载，提高了镜像安装包的扫描效率，减少了网络流量。

技术领域：

本发明涉及计算机技术领域，具体的，涉及一种镜像安装包信息扫描方法及设备。

背景技术：

自2013年发布至今，Docker已逐渐成为当前最主流的开源应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的Linux机器上，从而实现一次创建、任意运行的目的。Docker还提供了docker hub可以让用户上传创建的镜像，以便其他用户下载，快速搭建环境，但同时也带来了一些安全问题：在容器运行环境下，所有服务程序均被打包到容器镜像中，随着镜像包一起发布，由于镜像打包发布过程中存在不规范的操作，不合法的安装包下载源，导致镜像引入漏洞，早在2015年的一次调查中，研究者就曾发现取样的Dockerhub上有30％-40％的镜像存在安全性的问题。这样就需要提供一种机制扫描并发现镜像安装包中存在的各种风险(CVE)，由于镜像安装包在CICD(持续集成/发布)过程中处于信息源的地位，因此需要从源头控制风险的扩散。

Clair是目前常用的镜像扫描工具，主要模块分为Detector、Fetcher、Notifier和Webhook，其首先对镜像进行特征的提取，然后再将这些特征匹配CVE漏洞库，若发现漏洞则进行提示及修补。然而，Clair并没有针对本地镜像特点优化层的访问顺序、数据下载方式、解压方法，导致CPU、内存、网络性能消耗巨大，扫描速度慢。

有鉴于此，提出本发明。

发明内容：

有鉴于此，本发明的目的在于提供一种镜像安装包信息的扫描方法及设备，以解决现有技术中的至少一项技术问题。

具体的，本发明的第一方面，提供了一种镜像安装包信息的扫描方法，包括如下步骤：

指定镜像仓库中存在的repo：tag列表；

对repo：tag列表中的镜像进行遍历；

其中，所述对repo：tag列表中镜像进行遍历的步骤包括：

下载与repo：tag列表对应的镜像manifest文件到本地；

解析镜像manifest文件；

核对manifest文件；

下载镜像文件；

对镜像文件的数据进行扫描。

采用上述技术方案，避免了镜像的重复扫描和重复下载，提高了镜像安装包的扫描效率，减少了网络流量。

优选的，通过API指定镜像仓库中存在的repo：tag列表。

优选的，通过API下载与repo：tag列表对应的镜像manifest文件到本地。

优选的，镜像manifest文件储存在本地的缓存目录中。

优选的，所述解析镜像manifest文件的步骤包括：

解析镜像manifest文件；

获取镜像层的id列表；

排序组成层链表；

判断层链表中是否为多层，