[发明专利]一种容器镜像动态风险检测方法

说明书

本发明提供了一种容器镜像动态风险检测方法，该容器镜像动态风险检测方法包括：使用dockerpull命令将公开镜像仓库中的镜像下载到本地；使用dockerrun命令使用下载的所述镜像运行起容器；检测引擎通过docker exec命令进入所述容器内部，使用linux的提供的系统接口lsof，分析所述容器启动的进程和其打开的库文件；所述检测引擎扫描所述容器监听的服务端口(若存在)，检测是否有常见的web服务、数据库服务以及其它服务的安全问题；停止并移除临时启动的所述容器。本发明的有益效果是：通过对运行的容器进行安全检测，能检测镜像实际运行时服务存在的安全问题。

技术领域

本发明涉及到计算机安全运行技术领域，尤其涉及到一种容器镜像动态风险检测方法。

背景技术

镜像是容器运行的基础文件系统，其内部会安装许多运行时依赖的软件和容器运行时的主程序。docker官方提供了一个最大的公开镜像仓库，用于存放任何人制作好的镜像，供使用者拉取运行。但是docker官方并没有对上传到该镜像仓库中的镜像内软件的安全性做检测，导致目前该仓库中有大量存在高风险漏洞或恶意木马后门的镜像，这些高危镜像被不知情的用户拉取使用后会影响用户资产的安全性。为解决该问题，需要对所有从互联网公开下载的镜像做安全检测，避免使用高危镜像而引入风险。本发明即实现一种容器镜像的动态风险检测方法来检测镜像内存在的风险。

现有的检测镜像风险的技术有病毒木马文件扫描和软件漏洞扫描，其实现方式为静态的文件扫描，即先下载需要检测的镜像，然后使用杀毒引擎逐个扫描镜像中所有文件来检测病毒木马，扫描镜像中所有安装的软件包和版本来关联相应存在的漏洞。但是现有的静态的文件扫描的方式无法检测镜像实际运行时的软件存在的安全问题，且检测的结果不一定都有价值。

发明内容

本发明的目的是为了克服现有技术的不足，提供了一种容器镜像动态风险检测方法。

解决了现有的静态的文件扫描的方式无法检测镜像实际运行时的软件存在的安全问题，且检测的结果不一定都有价值的问题。

本发明是通过以下技术方案实现：

本发明提供了一种容器镜像动态风险检测方法，该容器镜像动态风险检测方法特征在于包括如下步骤：

S01，使用dockerpull命令将公开镜像仓库中的镜像下载到本地；

S02，使用dockerrun命令使用下载的所述镜像运行起容器；

S03，检测引擎通过docker exec命令进入所述容器内部，使用linux的提供的系统接口lsof，分析所述容器启动的进程和其打开的库文件；

S04，所述检测引擎扫描所述容器监听的服务端口(若存在)，检测是否有常见的web服务、数据库服务以及其它服务的安全问题；

S05，停止并移除临时启动的所述容器。

优选的，根据S03中打开的所述库文件，使用软件包管理命令反查打开的所述库文件所属的软件信息，即可获取当前所述容器所实际使用的所有软件。

优选的，关联所实际使用的所述所有软件和漏洞库即可得出和所述容器镜像实际相关的软件漏洞。

本发明的有益效果是：通过对运行的容器进行安全检测，能检测镜像实际运行时服务存在的安全问题。

附图说明

图1是本发明实施例提供的一种容器镜像动态风险检测方法的步骤示意图。

具体实施方式

以下结合附图对本发明的具体实施例进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明，并不用于限制本发明。