[发明专利]一种对容器镜像进行安全检查的方法、装置以及设备

权利要求书

1.一种对容器镜像进行安全检查的方法，包括：

获取容器镜像的Dockerfile文件，所述Dockerfile文件包括用于构建所述容器镜像的文件文本；

解析所述Dockerfile文件，得到解析结果；

将所述解析结果与安全检查数据库进行匹配，得到安全检查列表；所述将所述解析结果与安全检查数据库进行匹配，得到安全检查列表，具体包括：软件配置信息与软件漏洞库中存储的软件漏洞指令进行匹配，得到软件配置子列表。

2.如权利要求1所述的方法，所述获取容器镜像的Dockerfile文件之前还包括：

调用容器镜像安全检查服务，所述容器镜像安全检查服务用于对所述容器镜像进行安全检查。

3.如权利要求2所述的方法，所述解析所述Dockerfile文件，具体包括：

通过所述容器镜像安全检查服务中的安全扫描引擎对所述Dockerfile文件进行解析。

4.如权利要求1所述的方法，所述解析结果包括软件配置信息；所述软件配置信息表示所述Dockerfile文件中用于构建所述容器镜像的软件的信息；

所述安全检查数据库包括软件漏洞库，所述软件漏洞库包括若干软件漏洞的信息；

所述安全检查列表包括软件配置子列表；

所述将所述解析结果与安全检查数据库进行匹配，得到安全检查列表，具体包括：所述软件配置信息与所述软件漏洞库中存储的软件漏洞指令进行匹配，得到所述软件配置子列表。

5.如权利要求4所述的方法，所述解析结果还包括基础镜像信息、系统配置信息中至少一种；所述基础镜像信息表示所述Dockerfile文件中用于构建所述容器镜像的基础镜像的信息；所述系统配置信息表示所述Dockerfile文件中用于构建所述容器镜像的操作系统的配置信息；

所述安全检查数据库包括基础镜像子数据库、系统配置子数据库中至少一种；所述基础镜像子数据库中包括若干种基础镜像的信息；所述系统配置子数据库中包括若干种操作系统的配置信息；

所述安全检查列表包括基础镜像子列表、系统配置子列表中至少一种；

所述将所述解析结果与安全检查数据库进行匹配，得到安全检查列表，具体包括：

所述基础镜像信息与所述基础镜像子数据库中存储的所述基础镜像的信息进行匹配，得到所述基础镜像子列表；

所述系统配置信息与所述系统配置子数据库中存储的所述操作系统的配置信息进行匹配，得到所述系统配置子列表。

6.如权利要求4所述的方法，所述软件配置信息与所述软件漏洞库中存储的软件漏洞指令进行匹配，得到所述软件配置子列表，具体包括：

解析出所述Dockerfile文件中所述软件配置信息的关键指令，所述关键指令包括至少一条关键指令语句；

将所述关键指令语句逐条与所述软件漏洞库中的预存指令进行匹配；

若所述软件漏洞库中包含所述关键指令语句，则确定所述关键指令语句存在漏洞，将所述软件配置信息中存在漏洞的信息记录至所述软件配置子列表。

7.如权利要求1所述的方法，所述得到安全检查列表之后还包括：

将所述安全检查列表反馈调用方的终端；

所述安全检查列表包括一级提醒、二级提醒和三级提醒中任一种；

一级提醒用于提示所述调用方所述Dockerfile文件为安全文件；

二级提醒用于提示所述调用方所述Dockerfile文件中存在可忽略的危险信息；

三级提醒用于提示所述调用方所述Dockerfile文件中存在不可忽略的危险信息，所述Dockerfile文件不能构建目标镜像；

所述危险信息包括影响所述容器镜像安全的信息。