[发明专利]一种镜像系统安全分析方法及系统

说明书

本发明涉及一种镜像系统安全分析方法及系统，包括：提取镜像系统信息，生成镜像系统文件目录；根据所述镜像系统文件目录对镜像系统中的文件进行分析，提取特征信息；将所述特征信息与操作系统特征库中的特征规则进行对比，得到镜像系统包含的具体操作系统信息；根据所述具体操作系统信息，按照具体操作系统扫描策略对所述镜像系统文件目录包含的文件进行扫描分析；按照格式规则生成格式化的分析报告。本发明在实际应用中，当部署容器镜像仓库后，需要定期自动化执行大规模的容器镜像安全检查扫描时，能够提供高效准确的可分析数据。最终生成格式化的分析报告供开发者或用户参考，便于对镜像系统进行针对性的优化。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种镜像系统安全分析方法及系统。

背景技术

容器是一种轻量级、可移植、自包含的软件打包技术，使应用陈谷可以在几乎任何地方以相同的方式运行。容器本身也是一个轻量级的操作系统，包含某个软件运行所需的所有代码，以及运行时依赖、配置文件。镜像是容器运行的基础，本质上是由安层封装好的文件系统和描述镜像的元数据构成的文件系统包。镜像由多个文件系统层构成，每对基础镜像新增一些文件或配置，都会在原有镜像层之上再新增一层读写层，所有对原始镜像的修改都基于这一层读写层，在这之下的基础层则可以接着被用来创建别的镜像，可重复使用。

随着软件开发架构的演变，容器技术凭借其轻量、敏捷、易扩展的特性以及强大的社区支持，成为了时下DevOps、微服务等领域下的重要支持技术。容器包含应用程序所有所需的运行环境和配置文件，打包好的容器可以在不同环境中运行，不同服务之间也不会相互影响。因为这些原因，容器化部署已成为时下最流行的生产方式。开发人员所使用的镜像一部分来自于镜像内相应软件的官方组织，还有另一部分来自于第三方甚至个人。在引入这些镜像的同时，也带来了潜在的安全风险，对容器镜像的安全检查手段成为了亟待研究和解决的问题。

发明内容

有鉴于此，本发明提供一种镜像系统安全分析方法及系统，通过对镜像系统文件进行提取分析，获取到镜像内的操作系统信息、配置文件、系统组件信息等数据，并提供版本号比对规则依据，进而对镜像系统的安全性进行分析，最终生成格式化的分析报告供开发者或用户参考，至少部分解决现有技术中存在的问题。

具体发明内容为：

一种镜像系统安全分析方法，包括：

提取镜像系统信息，生成镜像系统文件目录；

根据所述镜像系统文件目录对镜像系统中的文件进行分析，提取特征信息；

将所述特征信息与操作系统特征库中的特征规则进行对比，得到镜像系统包含的具体操作系统信息；该过程根据操作系统特征规则，检查镜像系统文件目录中是否存在特征文件，以及内容是否符合特征规则，综合检查结果，分析镜像系统中包含的具体可支持扫描的操作系统发行版(如Debian系、RedHat系、apline、photon等)；

根据所述具体操作系统信息，按照具体操作系统扫描策略对所述镜像系统文件目录包含的文件进行扫描分析；

按照格式规则生成格式化的分析报告。

在实际应用中，当部署容器镜像仓库后，需要定期自动化执行大规模的容器镜像安全检查扫描时，本发明能够提供高效准确的可分析数据。利用镜像系统文件目录对数据信息进行收集分析，相当于将镜像解压到临时工作目录，扫描程序在这个工作目录中根据相应特征库及扫描规则对数据进行采集分析。镜像本身就是一个完整的操作系统，包含所有的软件运行环境与配置文件，因此构造镜像系统文件目录的目的在于，构造完整的文件路径后，可以直接根据规则查询指定路径文件，而不需要遍历这些文件，提高工作效率。识别操作系统的方式为检查操作系统特征配置文件是否存在以及是否完整，对于没有特别定制化操作系统的开发者或用户来说，他们是不会也不需要去特意修改这些操作系统基础依赖配置特征的，因此可以用这种方式来识别镜像内包含的具体操作系统信息。