【技术实现步骤摘要】
一种容器镜像文件提纯的分析方法、装置、存储介质及终端
[0001]本专利技术涉及软件安全
,尤其涉及一种容器镜像文件提纯的分析方法、装置、存储介质及终端。
技术介绍
[0002]容器是一种轻量级、可移植、自包含的软件打包技术,使应用程序可以在几乎任何地方以相同的方式运行。容器本身也是一个轻量级的操作系统,包含某个软件运行所需的所有代码,以及运行时依赖、配置文件。镜像是容器运行的基础,本质上是封装好的文件系统和描述镜像的元数据构成的文件系统包。其由多个文件系统层构成,每对基础镜像新增一些文件或配置,都会在原有镜像层之上再新增一层读写层,所有对原始镜像的修改都基于这一层读写层,在这之下的基础层则可以接着被用来创建别的镜像,可重复使用。
[0003]当前市场上使用最广的容器都是基于OCI协议规范实现的,基于该协议存储的镜像文件都具备相同的存储结构,因此镜像分析方式是通用的。目前常见的分析方法有以下几种:1、检查容器发行商、资质安全和开源许可协议等;2、从镜像的构建历史中提取构建步骤,分析是否存在风险内容;3、启动容器...
【技术保护点】
【技术特征摘要】
1.一种容器镜像文件提纯的分析方法,其特征在于:所述分析方法包括:S1、构建完整的容器镜像目录结构:针对不同的输入源通过不同的方式读取镜像的配置信息,通过有序地将构成该镜像的layer层依次覆盖合并得到一个完整的文件系统目录;S2、寻找系统特征文件,提取包管理器以及安装目录清单,并根据提取到的安装目录清单对整个文件系统进行反向遍历,得到用户自研文件和系统组件,将系统组件直接与漏洞知识库进行对比分析,将用户自研文件通过分析软件进行分析。2.根据权利要求1所述的一种容器镜像文件提纯的分析方法,其特征在于:所述S1步骤中共有三种输入源,包括纯docker镜像文件包、存在与docker服务内的镜像以及存在与其他OCI协议仓库内的镜像;对于纯docker镜像文件包,其包含了完整的配置信息以及所有需要的layer层文件包,则通过读取第一文件即可得知完整的配置信息,以及layer层合并的顺序;对于存在与docker服务内的镜像以及存在与其他OCI协议仓库内的镜像,则先获取服务器容器执行权限,然后调用相应接口查询目标镜像的inspect信息,得到目标镜像的hash、存储驱动和layers信息,即镜像系统信息。3.根据权利要求1所述的一种容器镜像文件提纯的分析方法,其特征在于:所述寻找系统特征文件,提取包管理器以及安装目录清单包括:检索操作系统中是否存在第一目录,如果该目录存在且有子文件,则确定容器镜像是基于该操作系统构建的,并检查第二目录确定容器镜像是否使用的是第二目录下的包管理系统作为包管理器,如果是,则通过依次遍历第二目录即可获取当前操作系统案子的系统组件信息、对应的版本信息以及对应的文件安装目录。4.一种容器镜像文件提纯的分析装置,其特征在于:它包...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。