CN112395042A - 一种面向业务容器镜像进行安全扫描的方法和装置 - Google Patents
一种面向业务容器镜像进行安全扫描的方法和装置 Download PDFInfo
- Publication number
- CN112395042A CN112395042A CN202011159991.XA CN202011159991A CN112395042A CN 112395042 A CN112395042 A CN 112395042A CN 202011159991 A CN202011159991 A CN 202011159991A CN 112395042 A CN112395042 A CN 112395042A
- Authority
- CN
- China
- Prior art keywords
- software
- mirror image
- information
- file
- scanning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 238000009434 installation Methods 0.000 claims abstract description 11
- 230000008439 repair process Effects 0.000 claims abstract description 6
- 230000001419 dependent effect Effects 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 10
- 238000004590 computer program Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 4
- 238000003860 storage Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/13—File access structures, e.g. distributed indices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/16—File or folder operations, e.g. details of user interfaces specifically adapted to file systems
- G06F16/164—File meta data generation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/188—Virtual file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/61—Installation
- G06F8/63—Image based installation; Cloning; Build to order
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Human Computer Interaction (AREA)
- Computing Systems (AREA)
- Facsimiles In General (AREA)
Abstract
本发明公开了一种面向业务容器镜像进行安全扫描的方法和装置,获取镜像的image config文件,提取出当前镜像所有Layer层所包含的归档文件,根据待提取信息文件路径列表,从归档文件中识别出信息文件,在信息文件中解析出操作系统信息、软件名称和软件版本信息;基于同一版本操作系统将当前镜像中的软件对应的软件版本信息与CVE数据库中的软件版本信息进行比较,如果CVE数据库中对应的软件修复版本高于镜像中的软件版本,则说明当前镜像中软件存在漏洞,反之不存在漏洞;对当前镜像中所有软件名称对应的软件进行漏洞扫描,完成后进行汇总并生成扫描报告。本发明不仅可以扫描系统安装包软件,还支持对应用程序依赖软件扫描,具有更全面漏洞检查能力。
Description
技术领域
本发明涉及一种面向业务容器镜像进行安全扫描的方法和装置,属于计算机安全技术领域。
背景技术
随着微服务架构的兴起,众多行业以及中小企业,均将其业务进行了不同程度的云化。容器技术凭借其弹性敏捷、易扩展特性和活跃强大的社区支持,成为了DevOps、微服务等领域下的重要支撑技术。容器安装了应用程序运行时所需要的环境,并且将应用程序及其所需的依赖关系打包到容器镜像中,例如系统、第三方软件包、二进制文件和配置文件等。打包好的容器镜像可以在不同环境中运行,不同的服务之间也不会相互影响。由于这些原因,容器化部署已经成为时下最流行的生产方式,越来越多的公司将应用部署在基于容器的架构上。
容器是一种轻量级、可移植、自包含的软件打包技术,使应用程序可以在几乎任何地方以相同的方式运行。镜像是一种轻量级、可执行的独立软件包,它包含运行某个软件所需的所有内容,包括代码、运行时、库、环境变量和配置文件。镜像是容器运行的基础,它本质上是由按层封装好的文件系统和描述镜像的元数据构成的文件系统包。Docker Hub作为全球的镜像仓库,镜像一部分来源于开发镜像内相应软件的官方组织,还有大量镜像来自第三方组织甚至个人。在从这些镜像仓库中获取镜像的同时,也带来了潜在的安全风险。那么镜像的安全性直接关乎到容器安全,容器以及容器运行环境的安全成为了亟待研究和解决的问题。
目前镜像安全扫描工具也有很多,镜像检测的核心目前仍然是依据CVE漏洞数据源检测。扫描器首先获取镜像基础系统已安装组件清单文件,然后根据清单中的组件名、版本等关键元素与CVE数据中心进行比对,从而判定是否存在漏洞。但这种方式只能扫描基础系统发行版本所包含的软件,对于用户自定义安装的软件则是无法进行扫描。还有一些业务镜像中包含了应用程序依赖的第三方软件包,目前的扫描工具并没有给出很好的识别漏洞的方案。总体来讲,现有成熟的检测方案还是有一些局限性,仍有很大的发展改进空间。
发明内容
目的:为了克服现有技术中存在的不足,本发明提供一种面向业务容器镜像进行安全扫描的方法和装置。
技术方案:为解决上述技术问题,本发明采用的技术方案为:
一种面向业务容器镜像进行安全扫描的方法,容器镜像是由一系列的“Layer层”组成的文件系统,每个镜像都有一个manifest文件,manifest文件描述了镜像的元信息,存放该镜像Layers和image config文件的索引。包括如下步骤:
步骤1:获取镜像的image config文件,提取出当前镜像Layer层所包含的归档文件,根据待提取信息文件路径列表,从归档文件中识别出信息文件,在信息文件中解析出操作系统信息、软件名称和软件版本信息。
如果客户端存在镜像文件,使用Docker CLI客户端通过REST API与Dockerdaemon进行交互,获取镜像的image config文件;否则,向私有或公共镜像仓库获取镜像manifest文件,manifest文件包含了对layer层和image config的文件索引,通过imageconfig的文件索引,继续向私有或公共镜像仓库发送https请求,获取到JSON格式的imageconfig文件。
通过image config文件获取镜像所有Layer层的地址digest,通过地址digest,找到对应的Layer层所包含的归档文件。对镜像逐一Layer层进行扫描,解压Layer层归档文件,遍历归档文件,通过归档文件名称与待提取信息文件路径列表进行识别信息文件,在信息文件中解析出操作系统信息、软件名称和软件版本信息。所述信息文件包括操作系统版本信息文件、安装包清单文件和应用程序依赖项文件。所述待提取信息文件路径列表根据操作系统发行版本、安装包管理器、应用程序依赖项分别进行提取;操作系统发行版本包括RedHat,CentOS,Debian,Ubuntu,Alpine,Suse,安装包管理器包括apk,dpkg,应用程序依赖项包括bundler、composer、npm、yarn、pipenv、poetry、maven。
由于镜像ID和LayerID自身具备的唯一性,扫描完成后,以镜像ID和LayerID为key值,将镜像基本信息和每个Layer层提取到的提取操作系统信息、软件名称和软件版本信息缓存到客户端,用于提升扫描效率。
步骤2:基于同一版本操作系统将当前镜像中的软件对应的软件版本信息与CVE数据库中的软件版本信息进行比较,如果CVE数据库中对应的软件修复版本高于镜像中的软件版本,则说明当前镜像中软件存在漏洞,反之不存在漏洞。
所述CVE数据库根据alpine、debian、redhat、ubuntu、suse、photon、github开放社区持续维护的软件的各种漏洞数据进行搭建。
所述软件包括:操作系统自带的软件,第三方软件,所述软件名称包括操作系统自带的软件,第三方软件的名称,所述软件版本信息包括操作系统自带的软件,第三方软件的版本信息。
步骤3:对当前镜像中所有软件名称对应的软件进行漏洞扫描,完成后进行汇总并生成扫描报告。
扫描报告记录了当前镜像根据CVE数据库标准划分的危及风险、高风险、中风险、低风险、未知风险软件五类漏洞风险等级的漏洞数量、软件名称、软件版本、漏洞信息以及CVE ID。
步骤4:根据用户提供的自定义策略可以对扫描报告进行调整。
自定义策略包括漏洞风险级别、漏洞类型、黑白名单,并按照表格或Json格式输出扫描报告。
一种面向业务容器镜像进行安全扫描的装置,包括如下模块:
第一模块:获取镜像的manifest文件,提取出当前镜像Layer层所包含的归档文件,根据待提取信息文件路径列表,从归档文件中识别出信息文件,在信息文件中解析出操作系统信息、软件名称和软件版本信息。
第二模块:基于同一版本操作系统将当前镜像中的软件对应的软件版本信息与CVE数据库中的软件版本信息进行比较,如果CVE数据库中对应的软件修复版本高于镜像中的软件版本,则说明当前镜像中软件存在漏洞,反之不存在漏洞。
第三模块:对当前镜像中所有软件名称对应的软件进行漏洞扫描,完成后进行汇总并生成扫描报告。
第四模块:根据用户提供的自定义策略可以对扫描报告进行调整。
有益效果:本发明提供的一种面向业务容器镜像进行安全扫描的方法和装置,用于对制作的业务镜像在CVE漏洞与恶意镜像方面进行扫描和审计,能够根据容器镜像安全漏洞级别、黑白名单、漏洞类型过滤,生成扫描报告开发人员。
附图说明
图1根据本发明方法的安全扫描流程框图。
图2根据本发明实施例提供的应用程序依赖文件扫描示意图。
具体实施方式
下面结合具体实施例对本发明作更进一步的说明。
实施例1:
如图1所示,一种面向业务容器镜像进行安全扫描的方法,包括如下过程:
步骤1:进行初始化配置。分别对扫描工具配置、客户端CVE数据库配置、镜像配置、扫描报告配置,并对于输入的操作命令信息做合法性校验,所述扫描工具用于对客户端内的镜像进行扫描。
步骤2:获取镜像文件的镜像ID和LayerIDs。如果客户端存在镜像文件,使用Docker CLI客户端通过REST API与Docker daemon进行交互,获取镜像的image config文件;否则,向私有或公共镜像仓库发送https请求获取镜像manifest文件,manifest文件包含了对layer层和image config的文件索引,通过image config的文件索引,继续向私有或公共镜像仓库发送https请求,获取到JSON格式的image config文件。在image config文件中读取到镜像ID,并在RootFS.Layers节点中的diff_ids读取每层LayerID。
步骤3:按逐个layer层对镜像进行解析。首先根据上一步得到的镜像ID和LayerIDs判断客户端缓存文件中是否存在镜像中每个layer层对应的操作系统信息、软件名称和软件版本信息,若存在则直接读取,提高扫描效率;若不存在,则文件提取器对未缓存的layer层的归档文件进行解压,遍历归档文件列表,根据归档文件名称与待提取信息文件路径列表进行比对,分别提取操作系统版本信息文件、安装包清单文件、应用程序依赖项文件。最终得到一个类型为map[string][]byte的filesMap,key为信息文件路径,value为信息文件对应的字节内容。操作系统信息、软件名称和软件版本信息解析主要流程:首先提取出操作系统版本信息文件,从中解析出当前镜像的操作系统信息,如Linux发行版版本信息;根据不同的Linux版本信息,提取出对应的安装包清单文件,从中解析出当前操作系统自带的全部软件名称和软件版本属性信息;根据应用程序不同的项目依赖管理工具,如bundler、composer、npm、yarn、pipenv、poetry、maven等,在应用程序依赖文件中提取出应用依赖的第三方软件名称和软件版本字段信息。信息文件提取如图2所示。将每个Layer层提取到的操作系统版本信息文件、安装包清单文件、应用程序依赖项文件信息缓存到客户端,key值为Layer层唯一标识符LayerIDs;将镜像image config文件信息也缓存到客户端,key值为镜像ID。
步骤4:根据CVE数据库扫描软件的漏洞。根据第2步得到的镜像ID和LayerIDs从客户端缓存依次读取出对应的Layer层信息,分别将操作系统自带的软件信息和应用依赖的第三方软件信息分类汇总到不同的集合。根据第1步输入的命令,这里可以选择性的扫描操作系统自带的软件集合或者扫描应用依赖的第三方软件集合的漏洞,如果不做特殊配置默认是两种类型集合全部扫描。将当前镜像中基于同一版本操作系统的软件版本信息与CVE数据库中的软件版本信息进行比较,如果CVE数据库中对应的软件修复版本信息高于镜像中的软件版本信息,则搜集当前扫描软件的漏洞数据,如果没有,则当前扫描软件无漏洞信息,根据软件集合依次循环扫描下一软件,直至镜像中所有软件扫描完毕。
步骤5:根据漏洞数据打印扫描报告。将第4步扫描得到的漏洞数据根据第1步输入的自定义规则进行过滤。当前支持的过滤形式主要包括:黑白名单、漏洞等级、漏洞类型等方式。最后按照表格、Json格式生成扫描报告。
综上所述:
本发明是一种面向业务容器镜像进行安全扫描的方法和装置,充分利用官方公布的软件CVE漏洞数据,对漏洞数据进行了详细的分类,相比其他扫描工具对Alpine Linux和Centos系统扫描精度更高;不仅可以扫描系统安装包软件,还支持对应用程序依赖软件扫描,具有更全面漏洞检查能力。
以上所述仅是本发明的优选实施方式,应当指出:对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
Claims (10)
1.一种面向业务容器镜像进行安全扫描的方法,其特征在于:包括如下步骤:
获取镜像的image config文件,提取出当前镜像所有Layer层所包含的归档文件,根据待提取信息文件路径列表,从归档文件中识别出信息文件,在信息文件中解析出操作系统信息、软件名称和软件版本信息;
基于同一版本操作系统将当前镜像中的软件对应的软件版本信息与CVE数据库中的软件版本信息进行比较,如果CVE数据库中对应的软件修复版本高于镜像中的软件版本,则说明当前镜像中软件存在漏洞,反之不存在漏洞;
对当前镜像中所有软件名称对应的软件进行漏洞扫描,完成后进行汇总并生成扫描报告。
2.根据权利要求1所述的一种面向业务容器镜像进行安全扫描的方法,其特征在于:还包括:根据用户提供的自定义策略对扫描报告进行调整;所述自定义策略至少包括对漏洞风险级别、漏洞类型、黑白名单、扫描报告输出格式其中一种进行设置。
3.根据权利要求1或2所述的一种面向业务容器镜像进行安全扫描的方法,其特征在于:如果客户端存在镜像文件,使用Docker CLI客户端通过REST API与Docker daemon进行交互,获取镜像的image config文件;否则,向私有或公共镜像仓库获取镜像manifest文件,manifest文件包含了对layer层和image config的文件索引,通过image config的文件索引,继续向私有或公共镜像仓库发送https请求,获取到JSON格式的image config文件。
4.根据权利要求1或2所述的一种面向业务容器镜像进行安全扫描的方法,其特征在于:通过image config文件获取镜像所有Layer层的地址digest,通过地址digest,找到对应的Layer层所包含的归档文件;对镜像逐一Layer层进行扫描,解压Layer层归档文件,遍历归档文件,通过归档文件名称与待提取信息文件路径列表进行识别信息文件,在信息文件中解析出操作系统信息、软件名称和软件版本信息;所述信息文件包括操作系统版本信息文件、安装包清单文件和应用程序依赖项文件。
5.根据权利要求1或2所述的一种面向业务容器镜像进行安全扫描的方法,其特征在于:所述待提取信息文件路径列表根据操作系统发行版本、安装包管理器、应用程序依赖项分别进行提取;操作系统发行版本包括RedHat,CentOS,Debian,Ubuntu,Alpine,Suse,安装包管理器包括apk,dpkg,应用程序依赖项包括bundler、composer、npm、yarn、pipenv、poetry、maven。
6.根据权利要求1或2所述的一种面向业务容器镜像进行安全扫描的方法和装置,其特征在于:以镜像ID和LayerID为key值,将镜像基本信息和每个Layer层提取到的提取操作系统信息、软件名称和软件版本信息缓存到客户端。
7.根据权利要求1或2任一项所述的一种面向业务容器镜像进行安全扫描的方法,其特征在于:所述CVE数据库根据alpine、debian、redhat、ubuntu、suse、photon、github开放社区持续维护的软件的各种漏洞数据进行搭建。
8.根据权利要求1或2任一项所述的一种面向业务容器镜像进行安全扫描的方法,其特征在于:所述软件包括:操作系统自带的软件,第三方软件,所述软件名称包括操作系统自带的软件,第三方软件的名称,所述软件版本信息包括操作系统自带的软件,第三方软件的版本信息。
9.一种面向业务容器镜像进行安全扫描的装置,其特征在于:包括如下模块:
第一模块:获取镜像的manifest文件,提取出当前镜像Layer层所包含的归档文件,根据待提取信息文件路径列表,从归档文件中识别出信息文件,在信息文件中解析出操作系统信息、软件名称和软件版本信息;
第二模块:基于同一版本操作系统将当前镜像中的软件对应的软件版本信息与CVE数据库中的软件版本信息进行比较,如果CVE数据库中对应的软件修复版本高于镜像中的软件版本,则说明当前镜像中软件存在漏洞,反之不存在漏洞;
第三模块:对当前镜像中所有软件名称对应的软件进行漏洞扫描,完成后进行汇总并生成扫描报告。
10.根据权利要求9所述的一种面向业务容器镜像进行安全扫描的装置,其特征在于:还包括第四模块,第四模块:根据用户提供的自定义策略对扫描报告进行调整;所述自定义策略至少包括对漏洞风险级别、漏洞类型、黑白名单、扫描报告输出格式其中一种进行设置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011159991.XA CN112395042A (zh) | 2020-10-27 | 2020-10-27 | 一种面向业务容器镜像进行安全扫描的方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011159991.XA CN112395042A (zh) | 2020-10-27 | 2020-10-27 | 一种面向业务容器镜像进行安全扫描的方法和装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112395042A true CN112395042A (zh) | 2021-02-23 |
Family
ID=74596654
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011159991.XA Pending CN112395042A (zh) | 2020-10-27 | 2020-10-27 | 一种面向业务容器镜像进行安全扫描的方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112395042A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113065125A (zh) * | 2021-03-30 | 2021-07-02 | 深圳开源互联网安全技术有限公司 | Docker镜像的分析方法、装置、电子设备及存储介质 |
CN113642004A (zh) * | 2021-08-11 | 2021-11-12 | 杭州安恒信息技术股份有限公司 | 一种容器镜像安全扫描与修复的方法、装置及设备 |
CN113656809A (zh) * | 2021-09-01 | 2021-11-16 | 京东科技信息技术有限公司 | 镜像的安全检测方法、装置、设备及介质 |
CN116150768A (zh) * | 2023-03-01 | 2023-05-23 | 上海弘积信息科技有限公司 | Docker容器运行状态下漏洞检测方法、系统及设备 |
CN116302210A (zh) * | 2023-05-17 | 2023-06-23 | 阿里云计算有限公司 | 一种镜像文件的导入方法、装置、电子设备及存储介质 |
-
2020
- 2020-10-27 CN CN202011159991.XA patent/CN112395042A/zh active Pending
Non-Patent Citations (2)
Title |
---|
WEIXIN_39875832: ""docker $PWD路径_Docker镜像扫描原理"", 《HTTPS://BLOG.CSDN.NET/WEIXIN_39875832/ARTICLE/DETAILS/110088914》 * |
猪齿鱼数智化开发管理平台: ""镜像漏洞扫描工具Trivy"", 《HTTPS://BLOG.CSDN.NET/XXXXAAYY/ARTICLE/DETAILS/105581252》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113065125A (zh) * | 2021-03-30 | 2021-07-02 | 深圳开源互联网安全技术有限公司 | Docker镜像的分析方法、装置、电子设备及存储介质 |
CN113642004A (zh) * | 2021-08-11 | 2021-11-12 | 杭州安恒信息技术股份有限公司 | 一种容器镜像安全扫描与修复的方法、装置及设备 |
CN113642004B (zh) * | 2021-08-11 | 2024-04-09 | 杭州安恒信息技术股份有限公司 | 一种容器镜像安全扫描与修复的方法、装置及设备 |
CN113656809A (zh) * | 2021-09-01 | 2021-11-16 | 京东科技信息技术有限公司 | 镜像的安全检测方法、装置、设备及介质 |
CN116150768A (zh) * | 2023-03-01 | 2023-05-23 | 上海弘积信息科技有限公司 | Docker容器运行状态下漏洞检测方法、系统及设备 |
CN116150768B (zh) * | 2023-03-01 | 2024-01-30 | 上海弘积信息科技有限公司 | Docker容器运行状态下漏洞检测方法、系统及设备 |
CN116302210A (zh) * | 2023-05-17 | 2023-06-23 | 阿里云计算有限公司 | 一种镜像文件的导入方法、装置、电子设备及存储介质 |
CN116302210B (zh) * | 2023-05-17 | 2023-08-04 | 阿里云计算有限公司 | 一种镜像文件的导入方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112395042A (zh) | 一种面向业务容器镜像进行安全扫描的方法和装置 | |
US9436463B2 (en) | System and method for checking open source usage | |
US9424428B2 (en) | Method and system for real time classification of events in computer integrity system | |
Glanz et al. | CodeMatch: obfuscation won't conceal your repackaged app | |
US9864793B2 (en) | Language tag management on international data storage | |
US11669622B2 (en) | Method and apparatus for providing visibility of security into container images | |
US10922213B2 (en) | Embedded quality indication data for version control systems | |
US10705829B2 (en) | Software discovery using exclusion | |
EP3444741A1 (en) | Generating rules to detect security vulnerabilities based on vulnerability primitives with entry point finder | |
KR20120071834A (ko) | 악성코드 그룹 및 변종 자동 관리 시스템 | |
US8949184B2 (en) | Data collector | |
US20150213272A1 (en) | Conjoint vulnerability identifiers | |
KR20190136232A (ko) | 소프트웨어 취약점을 검출하는 전자 장치 및 그 동작 방법 | |
Duarte et al. | An empirical study of docker vulnerabilities and of static code analysis applicability | |
Gadyatskaya et al. | Evaluation of resource-based app repackaging detection in android | |
CN105760761A (zh) | 软件行为分析方法和装置 | |
US11443046B2 (en) | Entry point finder | |
CN116821917A (zh) | 一种容器漏洞检测方法及系统 | |
Tan et al. | Coldpress: An extensible malware analysis platform for threat intelligence | |
CN116186716A (zh) | 一种面向持续集成部署的安全分析方法及装置 | |
Davies et al. | Exploring the need for an updated mixed file research data set | |
US10572669B2 (en) | Checking for unnecessary privileges with entry point finder | |
US10719609B2 (en) | Automatic impact detection after patch implementation with entry point finder | |
Moreaux et al. | Visual content verification in blockchain environments | |
Sun et al. | Using the uniqueness of global identifiers to determine the provenance of Python software source code |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210223 |