The present disclosure relates to a mirror security detection method, device, storage medium and electronic equipment. The method includes: building a sandbox environment in a host system, which is a file running environment isolated from the core of the host system and equipped with a network firewall; testing the container application corresponding to the mirror file in the sandbox environment; and applying the sandbox environment to the container. In order to obtain abnormal information, the operation status of the container application is monitored during the trial run. The abnormal information includes at least abnormal ports, abnormal processes, abnormal export network packages, security vulnerabilities and abnormal resource consumption. According to the abnormal information, the security analysis report corresponding to the mirror file is generated. Through independent sandbox environment, the container application corresponding to the mirror file can be tested, and the abnormal state information of the container application can be monitored during the trial run, and then the corresponding security analysis report can be generated to improve the security of the mirror file production and deployment process.
【技术实现步骤摘要】
镜像的安全性检测方法、装置、存储介质和电子设备
本公开涉及虚拟化
,具体地,涉及一种镜像的安全性检测方法、装置、存储介质和电子设备。
技术介绍
镜像或称镜像文件是一种文件存储形式,实际为包含多个只读层的应用程序的只读模板。在基于Docker应用容器引擎的网络应用开发过程中,可以将开发出的网络应用以镜像文件的形式储存在镜像仓库中,例如,Docker引擎提供的Dockerhub仓库和Dockerpool仓库等。之后,在确保镜像安全性的情况下将镜像文件部署到服务器系统中投入使用。在部署镜像文件的过程中,需要在镜像文件中包含的多个只读层上添加一层可读写层,以生成可运行的容器应用。相关技术中,对镜像文件进行安全性检测的方式通常为:在部署镜像文件之前,利用诸如Clair、Anchore和DockerScan等静态安全性扫描工具对镜像文件中的每个只读层中的信息进行扫描和比对,进而向开发人员或者运营人员输出相应的扫描报告。同时在服务器系统中设置网络防火墙,以保证容器应用运行过程中的网络安全。但是,静态安全性扫描仅能对镜像文件中已有的信息进行检测,无法获知镜像文件对应的容器文件在实际运行状态下可能出现的问题和漏洞,降低了镜像文件生产部署过程中的安全性。
技术实现思路
为克服相关技术中存在的问题,本公开的目的是提供一种镜像的安全性检测方法、装置、存储介质和电子设备。为了实现上述目的,根据本公开实施例的第一方面,提供一种镜像的安全性检测方法,所述方法包括:在主机系统中构建沙箱环境,所述沙箱环境为与所述主机系统的内核隔离并设置有网络防火墙的文件运行环境;在所述沙箱环境中对所述镜 ...
【技术保护点】
1.一种镜像的安全性检测方法,其特征在于,所述方法包括:在主机系统中构建沙箱环境,所述沙箱环境为与所述主机系统的内核隔离并设置有网络防火墙的文件运行环境;在所述沙箱环境中对所述镜像文件对应的容器应用进行试运行;在所述容器应用的试运行过程中对所述容器应用的运行状态进行监测,以获取异常信息,所述异常信息至少包括:异常端口、异常进程、异常出口网络包、安全漏洞以及异常资源消耗;根据所述异常信息,生成所述镜像文件对应的安全性分析报告。
【技术特征摘要】
1.一种镜像的安全性检测方法,其特征在于,所述方法包括:在主机系统中构建沙箱环境,所述沙箱环境为与所述主机系统的内核隔离并设置有网络防火墙的文件运行环境;在所述沙箱环境中对所述镜像文件对应的容器应用进行试运行;在所述容器应用的试运行过程中对所述容器应用的运行状态进行监测,以获取异常信息,所述异常信息至少包括:异常端口、异常进程、异常出口网络包、安全漏洞以及异常资源消耗;根据所述异常信息,生成所述镜像文件对应的安全性分析报告。2.根据权利要求1所述的方法,其特征在于,所述在主机系统中构建用于对镜像文件进行试运行的沙箱环境,包括:基于主机的物理资源,在所述主机系统中构建与所述主机系统的内核隔离的目标文件运行环境;为所述目标文件运行环境配置具备预设安全访问策略的网络防火墙,以获取所述沙箱环境。3.根据权利要求2所述的方法,其特征在于,所述基于主机的物理资源,在所述主机系统中构建与所述主机系统的内核隔离的目标文件运行环境,包括:当所述主机的物理资源符合虚拟机的运行条件时,通过所述虚拟机提供的虚拟化设备和虚拟化内核构建文件运行环境,作为所述目标文件运行环境;或者,当所述主机的物理资源不符合虚拟机的运行条件时,通过所述主机系统中的实际物理设备构建具备预设内核访问规则的文件运行环境,作为所述目标文件运行环境,所述预设内核访问规则用于限制所述容器应用对所述主机系统内核的调用。4.根据权利要求1所述的方法,其特征在于,所述在所述沙箱环境中试运行所述镜像文件对应的容器应用,包括:通过预设的静态安全性扫描方式对所述镜像文件进行安全性扫描;在所述沙箱环境中为经过所述安全性扫描的所述镜像文件添加可读写层,以生成所述容器应用;在所述沙箱环境中对所述容器应用进行试运行。5.一种镜像的安全性检测装置,其特征在于,所述装置包括:沙箱构建模块,用于在主机系统中构建沙箱环境,所述沙箱环境为与所述主机系统的内核隔离并设置有网络防火墙的文件运行...
【专利技术属性】
技术研发人员:王欢,
申请(专利权)人:东软集团股份有限公司,
类型:发明
国别省市:辽宁,21
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。