CN112559132B - 面向容器化部署应用的安全静态检测方法及装置 - Google Patents

面向容器化部署应用的安全静态检测方法及装置 Download PDF

Info

Publication number
CN112559132B
CN112559132B CN202011506088.6A CN202011506088A CN112559132B CN 112559132 B CN112559132 B CN 112559132B CN 202011506088 A CN202011506088 A CN 202011506088A CN 112559132 B CN112559132 B CN 112559132B
Authority
CN
China
Prior art keywords
container
application
detection
safety
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011506088.6A
Other languages
English (en)
Other versions
CN112559132A (zh
Inventor
崔杰
杨永
刘禹
邢磊
舒展
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CCB Finetech Co Ltd
Original Assignee
CCB Finetech Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CCB Finetech Co Ltd filed Critical CCB Finetech Co Ltd
Priority to CN202011506088.6A priority Critical patent/CN112559132B/zh
Publication of CN112559132A publication Critical patent/CN112559132A/zh
Application granted granted Critical
Publication of CN112559132B publication Critical patent/CN112559132B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45591Monitoring or debugging support
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Alarm Systems (AREA)

Abstract

本发明公开了一种面向容器化部署应用的安全静态检测方法及装置,该方法包括:获取预设的安全检测规则;根据所述安全检测规则采用静态代码扫描的方法对第一容器的环境配置以及部署在第二容器的应用的配置信息进行检测,其中,应用的逻辑代码部署在所述第一容器。本发明将应用的逻辑代码部署在第一容器,将应用的配置文件部署在第二容器,解耦了配置文件与逻辑代码的强绑定,实现了安全检测的统一性、规范性,也更好的支持了应用逻辑代码和容器资源的灵活调整,本发明能够实现在容器化部署的应用涉及的配置文件进行修改后的安全检测,可避免运行中的应用因相关配置的调整而出现相关的安全风险。

Description

面向容器化部署应用的安全静态检测方法及装置
技术领域
本发明涉及安全检测技术领域,具体而言,涉及一种面向容器化部署应用的安全静态检测方法及装置。
背景技术
目前应用安全检测常用静态代码扫描的方法。静态代码扫描注重对应用逻辑代码中语言规范、密码明文、SQL变量等风险内容的检测。目前,静态代码扫描方法主要在应用部署前对应用的配置文件进行检测,当应用逻辑代码部署运行时出现相应配置文件内容修改时则不会再次对应用逻辑代码进行检查。由此可见,现有的方法无法对应用运行中因配置文件的调整而出现相关的安全风险进行检测。
发明内容
本发明为了解决上述背景技术中的至少一个技术问题,提出了一种面向容器化部署应用的安全静态检测方法及装置。
为了实现上述目的,根据本发明的一个方面,提供了一种面向容器化部署应用的安全静态检测方法,该方法包括:
获取预设的安全检测规则;
根据所述安全检测规则采用静态代码扫描的方法对第一容器的环境配置以及部署在第二容器的应用的配置信息进行检测,其中,应用的逻辑代码部署在所述第一容器。
可选的,所述根据所述安全检测规则采用静态代码扫描的方法对第一容器的环境配置以及部署在第二容器的应用的配置信息进行检测,具体为:
安全检测装置根据所述安全检测规则采用静态代码扫描的方法对第一容器的环境配置以及部署在第二容器的应用的配置信息进行检测,其中,所述安全检测装置部署在所述第一容器。
可选的,该面向容器化部署应用的安全静态检测方法,还包括:
在应用部署时,将应用的逻辑代码部署在第一容器,将应用的配置信息部署在第二容器;
将安全检测装置部署在所述第一容器,以对所述第一容器的环境配置以及所述第二容器中的应用的配置信息进行检测。
可选的,所述安全检测规则包括:检测目标文件、检测方式以及检测标准。
可选的,所述获取预设的安全检测规则,具体为:
所述安全检测装置从预设的安全规则装置中获取所述安全检测规则,其中,所述安全规则装置中的安全检测规则为安全控制装置下发的,所述安全控制装置用于根据用户的指令生成安全检测规则。
可选的,该面向容器化部署应用的安全静态检测方法,还包括:
所述安全检测装置在每次检测结束后将检测结果发送到所述安全控制装置。
可选的,所述根据所述安全检测规则采用静态代码扫描的方法对第一容器的环境配置以及部署在第二容器的应用的配置信息进行检测,包括:
在每次对所述应用的配置信息进行更改后,根据所述安全检测规则采用静态代码扫描的方法对第一容器的环境配置以及部署在第二容器的应用的配置信息进行检测。
可选的,该面向容器化部署应用的安全静态检测方法,还包括:
根据用户的修改指令对部署在第二容器中的应用的配置信息进行修改。
可选的,所述安全检测装置以SideCar模式部署在所述第一容器。
为了实现上述目的,根据本发明的另一方面,提供了一种面向容器化部署应用的安全静态检测装置,该装置包括:
安全检测规则获取单元,用于获取预设的安全检测规则;
安全检测单元,用于根据所述安全检测规则采用静态代码扫描的方法对第一容器的环境配置以及部署在第二容器的应用的配置信息进行检测,其中,应用的逻辑代码部署在所述第一容器。
为了实现上述目的,根据本发明的另一方面,还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述面向容器化部署应用的安全静态检测方法中的步骤。
为了实现上述目的,根据本发明的另一方面,还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序在计算机处理器中执行时实现上述面向容器化部署应用的安全静态检测方法中的步骤。
本发明的有益效果为:本发明将应用的逻辑代码部署在第一容器,将应用的配置文件部署在第二容器,解耦了配置文件与逻辑代码的强绑定,实现了安全检测的统一性、规范性,也更好的支持了应用逻辑代码和容器资源的灵活调整,本发明由于解耦了配置文件与逻辑代码的强绑定,能够实现在容器化部署的应用涉及的配置文件进行修改后的安全检测,可避免运行中的应用因相关配置的调整而出现相关的安全风险。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是本发明实施例面向容器化部署应用的安全静态检测方法的流程图;
图2是本发明实施例应用部署的流程图;
图3是本发明应用场景图;
图4是本发明实施例面向容器化部署应用的安全静态检测装置的第一结构框图;
图5是本发明实施例面向容器化部署应用的安全静态检测装置的第二结构框图;
图6是本发明实施例计算机设备示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
本发明通过对容器中应用的配置信息的静态检测来实现对各类通用漏洞的预防,通过解耦被检测内容和检测装置以及检测控制装置,能够灵活的对被检测对象进行检测。可用于应用程序的任何阶段。本发明提出的方法通过在容器下应用服务部署环境中增加安全检测装置,并结合外部安全控制装置和安全规则装置实现对应用配置文件的安全规则和检测方案的管理和收集,从而提前预防和规避安全风险。
容器是指一种虚拟化技术,通过特定的隔离技术将一组紧密相关的资源进行封装并隔离的技术。具体来说,容器是打包代码及其所有依赖项的软件的标准单元,因此应用程序可以从一个计算环境快速可靠地运行到另一个计算环境。
图3是本发明应用场景图,如图3所示,应用(又称应用程序)的逻辑代码部署在第一容器,应用的配置信息部署在第二容器,安全检测装置部署在所述第一容器,以对所述第一容器的环境配置以及所述第二容器中的应用的配置信息进行检测。安全控制装置用于生成安全检测规则,并将安全检测规则下发到安全规则装置。安全检测装置从安全规则装置获取安全检测规则,并根据安全检测规则进行检测,将检测结果发送给安全控制装置。配置修改装置用于对应用的配置信息进行修改。下面对各装置进行简要介绍。
第一容器:普通的应用逻辑程序,是业务功能的逻辑代码,传统的部署方式是直接部署在物理机或者虚拟机服务器上,在本发明中,应用的逻辑代码部署在第一容器里面,以便于实现本专利中的逻辑和配置分离,以及安全检测代理装置的代理化。
第二容器:该装置是应用运行时必备的装置,其内容是从应用中剥离出的需经常变动或者供多个应用容器共用的配置信息。
配置修改装置:该装置用于根据用户的修改指令对部署在第二容器中的应用的配置信息进行修改(可以使文件、或者是K8s中的ConfigMap等),提供给用户CRUD的能力。
安全控制装置:该装置用来对应用容器的安全检测规则和相应的动作进行统一控制,该装置也负责对安全检测结果的统一收集和处理。
安全规则装置:该装置主要是用于分发应用容器的安全检测相应规则和配置信息,如安全检测的目标、周期、安全类别等信息。该装置接受安全控制装置的统一管理,并且提供安全检测代理装置相应的读取能力。
安全检测装置:该装置是安全检测的执行装置,其采用定期监测或者中断的方式从安全规则装置处拉取更新后的安全检测规则,并按照相应的规则对应用容器进行安全检测。同时,该装置也将根据安全控制装置配置的检测规则监测应用容器中相应的特殊的内容。
图1是本发明实施例面向容器化部署应用的安全静态检测方法的流程图,如图1所示,本实施例的面向容器化部署应用的安全静态检测方法包括步骤S101至步骤S102。
步骤S101,获取预设的安全检测规则。
在本发明实施例中,安全检测装置从安全规则装置获取安全检测规则。
在本发明一个实施例中,所述安全检测规则包括:检测目标文件、检测方式以及检测标准。
步骤S102,根据所述安全检测规则采用静态代码扫描的方法对第一容器的环境配置以及部署在第二容器的应用的配置信息进行检测,其中,应用的逻辑代码部署在所述第一容器。
在本发明实施例中,应用的配置信息可以为从应用中剥离出的需经常变动或者供多个应用容器共用的配置信息。
在本发明一个实施例中,上述步骤S102的根据所述安全检测规则采用静态代码扫描的方法对第一容器的环境配置以及部署在第二容器的应用的配置信息进行检测,具体为:由安全检测装置根据所述安全检测规则采用静态代码扫描的方法对第一容器的环境配置以及部署在第二容器的应用的配置信息进行检测,其中,所述安全检测装置部署在所述第一容器。
在本发明一个实施例中,所述安全检测装置可以以SideCar的模式进行部署在所述第一容器。
在本发明一个实施例中,本发明方法还在每次对所述应用的配置信息进行更改后,根据所述安全检测规则采用静态代码扫描的方法对第一容器的环境配置以及部署在第二容器的应用的配置信息进行检测。具体的,在本发明一个实施例中,第二容器中还设置有动态监测模块,动态监测模块用于检测第二容器中的应用的配置信息是否发生改变,并在发生改变时向所述安全检测装置发送信息,以触发安全检测装置进行检测,从而实现安全检测的及时性。
图2是本发明实施例应用部署的流程图,如图2所述,本发明实施例的应用部署具体包括步骤S201和步骤S202。
步骤S201,在应用部署时,将应用的逻辑代码部署在第一容器,将应用的配置信息部署在第二容器。
步骤S202,将安全检测装置部署在所述第一容器,以对所述第一容器的环境配置以及所述第二容器中的应用的配置信息进行检测。
在本发明一可选实施例中,本发明的具体部署流程如下:
首先,在应用部署之前,可通过安全控制装置处发出相应的安全检测规则,如目标文件、检测方式(定时/事件触发)、检测标准(如安全评价标准)等,安全规则装置将存储相应的安全检测规则。
然后,对相应的应用进行部署。在应用部署前,设置相应的应用运行所需的配置文件信息,将应用的逻辑代码部署在第一容器,将应用的配置信息部署在第二容器;当应用进行部署时,安全检测装置将随应用的逻辑代码部署一起部署在第一容器。
然后,应用容器启动后,安全检测装置将从安全规则装置处拉取相应的安全检测规则,并按照规则对相应的配置文件以及第一容器的环境配置进行检测并将检测结果按照相应规则回传至安全控制装置。
最后,安全控制装置将对检测结果进行统一处理。处理结果可提供给外部装置使用、展示等。
由以上实施例可以看出,本发明解决了应用运行时相关配置/关键文件内容的改动引起的安全问题。同时,本方面方案具有动态可配置的特点,可针对不同的新发现的安全威胁动态的进行安全检测控制。而且,被测应用不需要进行重启、更新即可实现相应安全危险的检测。
本发明方案包括安全检测的集中控制、规则统一管理和存储、安全检测运行时执行功能,同时,本发明方案还提出了应用及其相关配置新型的解耦方案。结合安全检测代理装置和剥离的配置信息以及配置修改装置,实现了对应用的动态调整和安全检测。优选的,可在第二容器中加入动态监测模块,以实现相关配置信息改动的实时获取并触发安全检测装置,从而实现安全检测的及时性。
从以上实施例可以看出,本发明的至少实现了以下有益效果:
1、应用配置分离,能够进行灵活的应用逻辑和相应的运行时环境控制和变更;
2、安全检测的控制和执行分离,能够提供更好的扩展性和灵活性;
3、安全检测装置的代理化能够减少对应用程序的侵入性,可将代理部署在容器运行的主机上,提供了代理的复用,减少资源的浪费。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
基于同一发明构思,本发明实施例还提供了一种面向容器化部署应用的安全静态检测装置,可以用于实现上述实施例所描述的面向容器化部署应用的安全静态检测方法,如下面的实施例所述。由于面向容器化部署应用的安全静态检测装置解决问题的原理与面向容器化部署应用的安全静态检测方法相似,因此面向容器化部署应用的安全静态检测装置的实施例可以参见面向容器化部署应用的安全静态检测方法的实施例,重复之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是本发明实施例面向容器化部署应用的安全静态检测装置的第一结构框图,如图4所示,本发明实施例面向容器化部署应用的安全静态检测装置包括:
安全检测规则获取单元1,用于获取预设的安全检测规则;
安全检测单元2,用于根据所述安全检测规则采用静态代码扫描的方法对第一容器的环境配置以及部署在第二容器的应用的配置信息进行检测,其中,应用的逻辑代码部署在所述第一容器。
在本发明一个实施例中,所述安全检测规则包括:检测目标文件、检测方式以及检测标准。
在本发明一个实施例中,所述安全检测单元2包括:安全检测装置;所述安全检测装置部署在所述第一容器;所述安全检测装置用于根据所述安全检测规则采用静态代码扫描的方法对第一容器的环境配置以及部署在第二容器的应用的配置信息进行检测。
图5是本发明实施例面向容器化部署应用的安全静态检测装置的第二结构框图,如图5所示,本发明实施例面向容器化部署应用的安全静态检测装置还包括:
应用部署单元3,用于在应用部署时,将应用的逻辑代码部署在第一容器,将应用的配置信息部署在第二容器;
安全检测装置部署单元4,用于将安全检测装置部署在所述第一容器,以对所述第一容器的环境配置以及所述第二容器中的应用的配置信息进行检测。
为了实现上述目的,根据本申请的另一方面,还提供了一种计算机设备。如图6所示,该计算机设备包括存储器、处理器、通信接口以及通信总线,在存储器上存储有可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述实施例方法中的步骤。
处理器可以为中央处理器(Central Processing Unit,CPU)。处理器还可以为其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片,或者上述各类芯片的组合。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及单元,如本发明上述方法实施例中对应的程序单元。处理器通过运行存储在存储器中的非暂态软件程序、指令以及模块,从而执行处理器的各种功能应用以及作品数据处理,即实现上述方法实施例中的方法。
存储器可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储处理器所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
所述一个或者多个单元存储在所述存储器中,当被所述处理器执行时,执行上述实施例中的方法。
上述计算机设备具体细节可以对应参阅上述实施例中对应的相关描述和效果进行理解,此处不再赘述。
为了实现上述目的,根据本申请的另一方面,还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序在计算机处理器中执行时实现上述面向容器化部署应用的安全静态检测方法中的步骤。本领域技术人员可以理解,实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)、随机存储记忆体(RandomAccessMemory,RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种面向容器化部署应用的安全静态检测方法,其特征在于,包括:
在应用部署时,将应用的逻辑代码部署在第一容器,将应用的配置信息部署在第二容器;
将安全检测装置部署在所述第一容器,以对所述第一容器的环境配置以及所述第二容器中的应用的配置信息进行检测;
获取预设的安全检测规则;
安全检测装置根据所述安全检测规则采用静态代码扫描的方法对第一容器的环境配置以及部署在第二容器的应用的配置信息进行检测,其中,所述安全检测装置部署在所述第一容器。
2.根据权利要求1所述的面向容器化部署应用的安全静态检测方法,其特征在于,所述安全检测规则包括:检测目标文件、检测方式以及检测标准。
3.根据权利要求1所述的面向容器化部署应用的安全静态检测方法,其特征在于,所述获取预设的安全检测规则,具体为:
所述安全检测装置从预设的安全规则装置中获取所述安全检测规则,其中,所述安全规则装置中的安全检测规则为安全控制装置下发的,所述安全控制装置用于根据用户的指令生成安全检测规则。
4.根据权利要求3所述的面向容器化部署应用的安全静态检测方法,其特征在于,还包括:
所述安全检测装置在每次检测结束后将检测结果发送到所述安全控制装置。
5.根据权利要求1所述的面向容器化部署应用的安全静态检测方法,其特征在于,所述根据所述安全检测规则采用静态代码扫描的方法对第一容器的环境配置以及部署在第二容器的应用的配置信息进行检测,包括:
在每次对所述应用的配置信息进行更改后,根据所述安全检测规则采用静态代码扫描的方法对第一容器的环境配置以及部署在第二容器的应用的配置信息进行检测。
6.根据权利要求1所述的面向容器化部署应用的安全静态检测方法,其特征在于,还包括:
根据用户的修改指令对部署在第二容器中的应用的配置信息进行修改。
7.根据权利要求1所述的面向容器化部署应用的安全静态检测方法,其特征在于,所述安全检测装置以SideCar模式部署在所述第一容器。
8.一种面向容器化部署应用的安全静态检测装置,其特征在于,包括:
应用部署单元,用于在应用部署时,将应用的逻辑代码部署在第一容器,将应用的配置信息部署在第二容器;
安全检测装置部署单元,用于将安全检测装置部署在所述第一容器,以对所述第一容器的环境配置以及所述第二容器中的应用的配置信息进行检测;
安全检测规则获取单元,用于获取预设的安全检测规则;
安全检测单元,用于根据所述安全检测规则采用静态代码扫描的方法对第一容器的环境配置以及部署在第二容器的应用的配置信息进行检测;
所述检测单元包括:安全检测装置;所述安全检测装置部署在所述第一容器;所述安全检测装置用于根据所述安全检测规则采用静态代码扫描的方法对第一容器的环境配置以及部署在第二容器的应用的配置信息进行检测。
9.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述的方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序在计算机处理器中执行时实现如权利要求1至7任意一项所述的方法。
CN202011506088.6A 2020-12-18 2020-12-18 面向容器化部署应用的安全静态检测方法及装置 Active CN112559132B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011506088.6A CN112559132B (zh) 2020-12-18 2020-12-18 面向容器化部署应用的安全静态检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011506088.6A CN112559132B (zh) 2020-12-18 2020-12-18 面向容器化部署应用的安全静态检测方法及装置

Publications (2)

Publication Number Publication Date
CN112559132A CN112559132A (zh) 2021-03-26
CN112559132B true CN112559132B (zh) 2023-04-14

Family

ID=75030453

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011506088.6A Active CN112559132B (zh) 2020-12-18 2020-12-18 面向容器化部署应用的安全静态检测方法及装置

Country Status (1)

Country Link
CN (1) CN112559132B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113312145A (zh) * 2021-05-28 2021-08-27 建信金融科技有限责任公司 一种容器调度方法、装置、电子设备及介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8683430B2 (en) * 2011-01-07 2014-03-25 International Business Machines Corporation Synchronizing development code and deployed executable versioning within distributed systems
CN107959579B (zh) * 2016-10-14 2021-11-12 北京京东尚科信息技术有限公司 多系统的部署方法和部署系统
CN108829433A (zh) * 2018-05-24 2018-11-16 努比亚技术有限公司 一种web系统版本部署方法、设备和存储介质
CN110058863A (zh) * 2019-03-16 2019-07-26 平安城市建设科技(深圳)有限公司 Docker容器的构建方法、装置、设备及存储介质
CN110109680A (zh) * 2019-05-14 2019-08-09 重庆商勤科技有限公司 应用部署方法、装置及应用发布方法、服务器、存储介质

Also Published As

Publication number Publication date
CN112559132A (zh) 2021-03-26

Similar Documents

Publication Publication Date Title
CN103826215B (zh) 一种在终端设备上进行Root权限管理的方法和装置
CN105427096B (zh) 支付安全沙箱实现方法及系统与应用程序监控方法及系统
JP5861228B2 (ja) 仮想パーティションを監視するためのシステム、装置、プログラムおよび方法
US10534915B2 (en) System for virtual patching security vulnerabilities in software containers
US9245095B2 (en) System and method for license management of virtual machines at a virtual machine manager
US9588794B2 (en) Method, system and device for managing software on virtual machine in cloud environment
CN110851241A (zh) Docker容器环境的安全防护方法、装置及系统
US10176327B2 (en) Method and device for preventing application in an operating system from being uninstalled
US10963558B2 (en) Malware detection method and malware detection apparatus
CN100492300C (zh) 在微处理器实现的设备上执行进程的系统和方法
US20190156047A1 (en) Software container access control
CN108241496B (zh) 应用程序的平滑升级方法及装置
CN105373734A (zh) 应用数据的保护方法及装置
CN108334404B (zh) 应用程序的运行方法和装置
CN111414256A (zh) 基于麒麟移动操作系统的应用程序进程派生方法、系统及介质
CN112559132B (zh) 面向容器化部署应用的安全静态检测方法及装置
CN110659104A (zh) 一种业务监控方法及相关设备
CN110971580A (zh) 一种权限控制方法及装置
CN107203410B (zh) 一种基于系统调用重定向的vmi方法及系统
CN109784041B (zh) 事件处理方法和装置、以及存储介质和电子装置
CN105653948B (zh) 一种阻止恶意操作的方法及装置
US11811803B2 (en) Method of threat detection
CN105787359A (zh) 进程守护方法和装置
CN115576626A (zh) 一种usb设备安全挂载和卸载的方法、设备和存储介质
CN113064601B (zh) 动态加载文件的确定方法、装置、终端及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant