[发明专利]一种镜像的安全扫描方法和装置

说明书

本申请提供一种镜像的安全扫描方法和装置，该方法应用于分布式集群系统，分布式集群系统包括多个业务处理节点和与多个业务处理节点通信的集群管理服务器，该方法包括集群管理服务器获取镜像安全扫描任务，判断镜像安全扫描任务中的目标镜像在数据库中是否有对应的扫描结果，若否，则以镜像层单位将镜像安全扫描任务拆解成多个镜像层扫描任务，并将多个镜像层扫描任务发送给多个业务处理节点中的至少一个目标业务处理节点，每一目标业务处理节点根据收到的镜像层扫描任务中的镜像层的标识信息读取对应镜像层扫描内容，并拆分形成多个扫描子任务，并利用多线程对多个扫描子任务并行进行安全扫描，从而缩减了镜像文件的读取扫描时间。

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种镜像的安全扫描方法和装置。

背景技术

传统的部署方式中，应用依赖于操作系统中的环境。为了解决多个应用对运行环境的不同要求而带来的问题，引进了容器化部署，容器安装了运行时所需要的环境，并且要求开发人员将他们的应用程序及其所需的依赖关系打包到容器镜像中，容器基于镜像启动，但镜像实际上是不透明的，它基于基础镜像一次次被封装构建，当镜像被构建越来越多次后，镜像内容越来越复杂，因此，镜像文件会积累越来越多的漏洞。

基于上述原因，容器镜像扫描功能成为容器安全的必须功能，但因为镜像分为多层，并且镜像可能包含大量文件，传统逐层扫描方式存在着扫描速度缓慢，效率低的问题。

发明内容

本申请实施例的目的在于提供一种镜像的安全扫描方法和装置，用以解决上述问题。

第一方面，本发明提供一种镜像的安全扫描方法，应用于分布式集群系统，所述分布式集群系统包括多个业务处理节点以及与多个业务处理节点通信的集群管理服务器，该方法由集群管理服务器执行，包括：获取用户端选择的镜像安全扫描任务，镜像安全扫描任务包括目标镜像的镜像层信息；判断镜像安全扫描任务对应的目标镜像在数据库中是否具有对应的扫描结果；若否，则以镜像层为单位将镜像安全扫描任务分解成多个镜像层扫描任务，其中，每个镜像层扫描任务中包含有目标镜像的至少一个镜像层的标识信息，不同的镜像层扫描任务包含的镜像层的标识信息不同；以及将多个镜像层扫描任务发送给多个业务处理节点中的至少一个目标业务处理节点，以使每一目标业务处理节点根据收到的镜像层扫描任务中的镜像层的标识信息获得对应的镜像层扫描内容，并对获得的镜像层扫描内容进行拆分形成多个扫描子任务，从而利用多线程对多个扫描子任务并行进行安全扫描。

在上述设计的镜像的安全扫描方法中，本方案利用集群管理服务器获取用户端发送的镜像安全扫描任务，然后在数据库中不具有镜像安全扫描任务对应的目标镜像的扫描结果基础上，以镜像层为单位将镜像安全扫描任务拆解成多个镜像层扫描任务，每个镜像层扫描任务包括至少一个镜像层标识，最终将多个镜像层扫描任务发送给多个业务处理节点中的至少一个目标业务处理节点，使得每一目标业务处理节点基于收到的扫描任务得到对应镜像层标识的镜像扫描内容，然后将镜像扫描内容拆分形成多个扫描子任务，并利用多线程对多个扫描子任务并行进行安全扫描，实现将多层镜像层的镜像安全扫描任务进行拆解，利用目标业务处理节点同时读取拆解的镜像层内容，并拆分成多个扫描子任务同时进行扫描，从而大大缩减了镜像文件的读取时间，提高了镜像扫描的速度。

在第一方面的可选实施方式中，在所述将所述多个镜像层扫描任务发送给所述多个业务处理节点中的至少一个目标业务处理节点之前，所述方法还包括：获取每一业务处理节点上报的状态信息；根据每一业务处理节点上报的状态信息确定当前状态为空闲的业务处理节点；以及根据当前状态为空闲的业务处理节点确定所述目标业务处理节点。

在第一方面的可选实施方式中，所述根据当前状态为空闲的业务处理节点确定所述目标业务处理节点，包括：获取目标业务处理节点的个数以及扫描任务的个数；判断目标业务处理节点的个数是否小于镜像层扫描任务的个数；若不小于，则将一个镜像层扫描任务分配给一个目标业务处理节点。