本公开提供了一种漏洞修复方法、装置及容器集群管理系统,涉及计算机安全技术领域,所述方法包括:确定容器对应的镜像中存在漏洞的软件包;将漏洞修复命令插入所述容器的第一部署文件中,以得到第二部署文件;运行所述第二部署文件以部署所述容器,其中,所述漏洞修复命令在所述运行的过程中被执行以安装所述软件包的安全版本。件包的安全版本。件包的安全版本。
【技术实现步骤摘要】
漏洞修复方法、装置及容器集群管理系统
[0001]本公开涉及计算机安全
,尤其是一种漏洞修复方法、装置及容器集群管理系统。
技术介绍
[0002]随着微服务架构的兴起,众多业务均将其业务进行了不同程度的云化。容器技术作为一种新的虚拟化技术,凭借其轻量、快速和高效的优势,成为了云计算、微服务等领域下的重要支撑技术。
[0003]然而,由于容器自身依赖于系统内核才能实现的特性,使得它与虚拟机相比暴露了更多的可攻击面,安全性较低。尽管利用一些镜像扫描工具(例如Clair工具)可以对容器对应的镜像进行扫描可以检测出镜像中的所存在的漏洞,但这些工具在扫描出漏洞后无法对漏洞进行修复,从而容器的安全性无法得到改善。
[0004]相关技术中,在容器运行的过程中,对容器内运行的各个进程以及容器与其他容器的通信行为进行监控,以防止容器内的非法进程和容器间的非授权通信。具体地,如果发现可疑进程,则进行拦截;如果发现异常通信行为,则进行阻止,从而提高容器的安全性。
技术实现思路
[0005]专利技术人注意到,相关技术中的方式下,仍可能存在因容器对应的镜像中并未得到修复的漏洞而导致的其他安全隐患,从而导致容器的安全性仍然较低。
[0006]为了解决上述问题,本公开实施例提出了如下解决方案。
[0007]根据本公开实施例的一方面,提供一种漏洞修复方法,包括:确定容器对应的镜像中存在漏洞的软件包;将漏洞修复命令插入所述容器的第一部署文件中,以得到第二部署文件;运行所述第二部署文件以部署所述容器,其中,所述漏洞修复命令在所述运行的过程中被执行以安装所述软件包的安全版本。
[0008]在一些实施例中,所述漏洞修复命令包括第一命令和第二命令,所述第一命令指示下载所述软件包的安全版本,所述第二命令指示安装所述软件包的安全版本。
[0009]在一些实施例中,所述第二命令为postStart命令。
[0010]在一些实施例中,所述将漏洞修复命令插入所述容器的第一部署文件中包括:将所述第一命令插入到所述容器的初始化命令中;将所述第二命令插入到所述容器的初始化命令之后。
[0011]在一些实施例中,所述将所述第二命令插入到所述容器的初始化命令之后包括:将所述第二命令插入到所述容器的启动命令中。
[0012]在一些实施例中,所述方法还包括:检查所述容器所属的容器组POD的状态;在所述POD的状态显示所述POD启动失败的情况下,移除所述第二部署文件中的所述漏洞修复命令,以将所述第二部署文件还原为所述第一部署文件;运行所述第一部署文件以重新部署所述容器。
[0013]在一些实施例中,所述确定容器对应的镜像中存在漏洞的软件包包括:接收所述第一部署文件;基于所述第一部署文件,获取所述镜像的操作系统版本以及所述镜像中已安装的各个软件包的当前版本;根据已发布的漏洞信息、所述操作系统版本和各个软件包的当前版本,确定所述镜像中存在漏洞的软件包。
[0014]在一些实施例中,所述容器位于容器集群管理系统K8S中,所述第一部署文件和所述第二部署文件均为YAML格式的文件。
[0015]根据本公开实施例的另一方面,提供一种漏洞修复装置,包括:确定模块,被配置为确定容器对应的镜像中存在漏洞的软件包;插入模块,被配置为将漏洞修复命令插入所述容器的第一部署文件中,以得到第二部署文件;运行模块,被配置为运行所述第二部署文件以部署所述容器,其中,所述漏洞修复命令在所述运行的过程中被执行以安装所述软件包的安全版本。
[0016]根据本公开实施例的又一方面,提供一种漏洞修复装置,包括:存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器的指令执行上述任意一个实施例所述的方法。
[0017]根据本公开实施例的再一方面,提供一种容器集群管理系统,包括:上述任意一个实施例所述的漏洞修复装置以及上述任意一个实施例所述的容器。
[0018]根据本公开实施例的还一方面,提供一种计算机可读存储介质,包括计算机程序指令,其中,所述计算机程序指令被处理器执行时实现上述任意一个实施例所述的方法。
[0019]根据本公开实施例的还一方面,提供一种计算机程序产品,包括计算机程序,其中,所述计算机程序被处理器执行时实现上述任意一个实施例所述的方法。
[0020]本公开实施例中,针对容器对应的镜像中存在漏洞的软件包,在容器的部署文件中添加了相应的漏洞修复命令,并利用含有漏洞修复命令的部署文件(即第二部署文件)进行容器的部署。如此,在容器的部署过程中便可安装存在漏洞的软件包的安全版本,以确保容器部署完成后所安装的软件包中均不含漏洞。相对于在容器的运行过程中实时地防控相关异常行为的方式,修改容器的部署文件以实现漏洞修复的方式能够从根本上遏制入侵者利用漏洞引发的安全恶性事件,有效地减少了由于并未得到修复的漏洞而导致的安全风险,从而提高了容器的安全性。
[0021]下面通过附图和实施例,对本公开的技术方案做进一步的详细描述。
附图说明
[0022]为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0023]图1是根据本公开一些实施例的漏洞修复方法的流程示意图;
[0024]图2是根据本公开另一些实施例的漏洞修复方法的流程示意图;
[0025]图3是根据本公开一些实施例的漏洞修复装置的结构示意图;
[0026]图4是根据本公开另一些实施例的漏洞修复装置的结构示意图。
具体实施方式
[0027]下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本公开保护的范围。
[0028]除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
[0029]同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
[0030]对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
[0031]在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
[0032]应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
[0033]图1是根据本公开一些实施例的漏洞修复方法的流程示意图。
[0034]本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种漏洞修复方法,包括:确定容器对应的镜像中存在漏洞的软件包;将漏洞修复命令插入所述容器的第一部署文件中,以得到第二部署文件;运行所述第二部署文件以部署所述容器,其中,所述漏洞修复命令在所述运行的过程中被执行以安装所述软件包的安全版本。2.根据权利要求1所述的方法,其中,所述漏洞修复命令包括第一命令和第二命令,所述第一命令指示下载所述软件包的安全版本,所述第二命令指示安装所述软件包的安全版本。3.根据权利要求2所述的方法,其中,所述第二命令为postStart命令。4.根据权利要求2或3所述的方法,其中,所述将漏洞修复命令插入所述容器的第一部署文件中包括:将所述第一命令插入到所述容器的初始化命令中;将所述第二命令插入到所述容器的初始化命令之后。5.根据权利要求4所述的方法,其中,所述将所述第二命令插入到所述容器的初始化命令之后包括:将所述第二命令插入到所述容器的启动命令中。6.根据权利要求1所述的方法,还包括:检查所述容器所属的容器组POD的状态;在所述POD的状态显示所述POD启动失败的情况下,移除所述第二部署文件中的所述漏洞修复命令,以将所述第二部署文件还原为所述第一部署文件;运行所述第一部署文件以重新部署所述容器。7.根据权利要求1所述的方法,其中,所述确定容器对应的镜像中存在漏洞的软件包包括:接收所述第一部署文件;基于所述第一部署文件...
【专利技术属性】
技术研发人员:肖芫莹,朱良海,徐浩,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。