【技术实现步骤摘要】
一种容器镜像安全检测方法、装置、设备及存储介质
[0001]本专利技术涉及镜像安全
,特别涉及一种容器镜像安全检测方法、装置、设备及存储介质。
技术介绍
[0002]随着微服务架构的兴起,容器化部署已经成为时下最流行的生产方式,容器安全自然而然地成为了业界关注的焦点。容器是基于镜像构建的,故容器镜像是否安全直接决定了容器安全。在真实的云原生环境下,从规范角度出发,敏感信息相关内容需要保存到特定的地方,如kubernetes(k8s)编排系统的secret资源内。如果直接将敏感信息相关内容存储到容器镜像内,会存在敏感信息泄露的风险,造成一定的安全隐患。基于此,保证容器镜像的敏感信息不发生泄露是容器镜像安全检测的重中之重,亦是促进容器安全发展的必经之路。目前,为了避免开发人员操作不规范导致容器镜像中敏感信息外漏的问题,现有技术中大多对可读文件进行常规的正则表达式匹配,这种方式简单有效,但只能解决一部分的问题,无法对容器镜像进行深度扫描以准确识别出存在的敏感信息并给予开发人员提示。
[0003]因此,如何深度捕获容器...
【技术保护点】
【技术特征摘要】
1.一种容器镜像安全检测方法,其特征在于,包括:对待检测容器镜像中的可被执行文件进行静态扫描,得到所述待检测容器镜像的所述可被执行文件中的待检测敏感特征;其中,所述待检测敏感特征为具有动态变化可能性且具有包含敏感信息可能性的特征;执行所述待检测容器镜像,并从所述待检测容器执行过程中的进程中确定出目标进程;其中,所述目标进程为对应的所述可被执行文件被静态扫描出的包含所述待检测敏感特征的进程;对所述目标进程进行动态调试,并基于动态调试结果确定所述待检测容器镜像的所述可被执行文件中的所述待检测敏感特征是否确实包含敏感信息。2.根据权利要求1所述的容器镜像安全检测方法,其特征在于,所述可被执行文件包括二进制可执行文件和脚本文件至少之一,所述待检测敏感特征包括待检测敏感变量和待检测敏感函数至少之一。3.根据权利要求1所述的容器镜像安全检测方法,其特征在于,所述可被执行文件包括二进制可执行文件;所述待检测敏感特征包括待检测敏感变量和待检测敏感函数至少之一;对所述待检测容器镜像中的所述二进制可执行文件进行静态扫描,包括:分别对所述待检测容器镜像中的所述二进制可执行文件的各个节区进行静态扫描,并从节区中提取出所述待检测敏感变量和所述待检测敏感函数至少之一。4.根据权利要求1所述的容器镜像安全检测方法,其特征在于,所述可被执行文件包括脚本文件;所述待检测敏感特征包括待检测敏感变量和待检测敏感函数至少之一;对所述待检测容器镜像中的所述脚本文件进行静态扫描,包括:对所述待检测容器镜像中的所述脚本文件进行静态扫描,并分别利用词法分析器和函数分析器对所述脚本文件进行解析,得到所述脚本文件中的所述待检测敏感变量和所述待检测敏感函数至少之一。5.根据权利要求1所述的容器镜像安全检测方法,其特征在于,所述对待检测容器镜像中的可被执行文件进行静态扫描之后,还包括:将静态扫描得到的所述待检测敏感特征缓存至敏感特征数据库;相应的,所述执行所述待检测容器镜像,并从所述待检测容器执行过程中的进程中确定出目标进程,包括:执行所述待检测容器镜像,并对执行过程中的进程信息进行遍历;从所述敏感特征数据库中读取对所述可被执行文件进行静态扫描得到的所述待检测敏感特征,并将读取到的信息与遍历到的进程信息进行匹配确定出所述目标进程。6.根据权利要求1所述的容器镜像安全检测方法,其特征在于,所述待检测敏感特征包括待检测敏感函数;相应的,所述对所述目标进程进行动态调试,并基于动态调试结果确定所述待检测容器镜像的所述可被执行文件中的所述待检测敏感特征是否确实包含敏感信息,包括:对所述目标进程...
【专利技术属性】
技术研发人员:周可,莫易非,董枫,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。