CN114254399A - 一种镜像安全检查方法、装置、电子设备和存储介质 - Google Patents
一种镜像安全检查方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN114254399A CN114254399A CN202111592925.6A CN202111592925A CN114254399A CN 114254399 A CN114254399 A CN 114254399A CN 202111592925 A CN202111592925 A CN 202111592925A CN 114254399 A CN114254399 A CN 114254399A
- Authority
- CN
- China
- Prior art keywords
- mirror image
- mirror
- image
- check
- images
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 69
- 238000010276 construction Methods 0.000 claims abstract description 16
- 238000007689 inspection Methods 0.000 claims description 33
- 238000012163 sequencing technique Methods 0.000 claims description 32
- 238000004590 computer program Methods 0.000 claims description 25
- 230000015654 memory Effects 0.000 claims description 13
- 230000007246 mechanism Effects 0.000 claims description 6
- 230000008859 change Effects 0.000 claims description 5
- 238000004519 manufacturing process Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 17
- 230000006870 function Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 8
- 230000003287 optical effect Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000007726 management method Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000004806 packaging method and process Methods 0.000 description 2
- 238000003672 processing method Methods 0.000 description 2
- 239000000758 substrate Substances 0.000 description 2
- 108010001267 Protein Subunits Proteins 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000007781 pre-processing Methods 0.000 description 1
- 238000004804 winding Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/61—Installation
- G06F8/63—Image based installation; Cloning; Build to order
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Technology Law (AREA)
- Multimedia (AREA)
- Storage Device Security (AREA)
Abstract
本公开提供了一种镜像安全检查方法、装置、电子设备、存储介质和和程序产品,可用于金融领域及其他领域,其中,像安全检查方法包括:创建密钥对,将密钥对中的私钥存放在镜像构建流水线中,将密钥对中的公钥保存在Kubernetes集群中,针对每一个构建完成的镜像,利用私钥对镜像进行签名,当满足预设条件时,根据预设条件确定待检查镜像,利用保存在Kubernetes集群中的公钥对待检查镜像进行签名检查。通过创建密钥对,私钥用来镜像加密签名,公钥用来检查验证镜像签名,避免了因镜像被篡改而导致的攻击,能够保证镜像的来源是可信的和安全的,保障了镜像的安全性和完整性。
Description
技术领域
本公开涉及云计算数据安全技术领域,尤其涉及一种镜像安全检查方法、装置、电子设备、存储介质和程序产品。
背景技术
随着云计算的发展,越来越多的应用程序逐步将部署在传统服务器上的节点迁移至云平台来,并以镜像的形式交付应用程序,并通过容器的形式启动镜像应用程序。针对现有的镜像交付方式,部署镜像容器时通常只会匹配镜像名称和TAG标签,存在镜像容易被篡改、并可能导致攻击的镜像容器完整性和安全性问题。
公开内容
鉴于上述问题,本公开提供了一种镜像安全检查方法、装置、电子设备、存储介质和程序产品。
根据本公开的第一个方面,提供了一种镜像安全检查方法,该方法包括:
创建密钥对,将上述密钥对中的私钥存放在镜像构建流水线中,将上述密钥对中的公钥保存在Kubernetes集群中;
针对每一个构建完成的镜像,利用上述私钥对上述镜像进行签名;
当满足预设条件时,根据上述预设条件确定待检查镜像,利用保存在Kubernetes集群中的上述公钥对上述待检查镜像进行签名检查。
在本公开一实施例中,在上述利用上述私钥对上述镜像进行签名之后,上述方法还包括:
创建第一检查策略,并将上述第一检查策略以Kubernetes Configmap形式保存在上述Kubernetes集群中;
上述第一检查策略包括:按预设维度对上述待检查镜像进行排序,按序对上述待检查镜像进行签名检查;或
随机逐个对上述待检查镜像进行签名检查。
在本公开一实施例中,若上述预设条件为存在至少一个镜像被启动,则上述待检查镜像为上述至少一个镜像;
则上述利用保存在Kubernetes集群中的上述公钥对上述镜像进行签名检查包括:
上述至少一个镜像被启动时,触发上述Kubernetes集群的Validating Webhook机制,使上述Kubernetes集群调用上述第一检查策略并利用上述公钥按照上述第一检查策略对上述待检查镜像进行签名检查;
若上述待检查镜像中任一镜像签名检查不通过,则上述镜像启动失败,发送告警信息给与上述镜像相关的应用;
若上述待检查镜像中任一镜像签名检查通过,则启动上述镜像。
在本公开一实施例中,若上述预设条件为达到预设的时间周期,则上述利用上述公钥对上述镜像进行签名检查包括:
上述Kubernetes集群调用上述第一检查策略并利用上述公钥按照上述第一检查策略对上述待检查镜像进行签名检查;
当上述待检查镜像中任一镜像签名检查不通过时,发送告警信息给与上述镜像相关的应用。
在本公开一实施例中,若上述预设条件为达到预设的时间周期,则确定上述待检查镜像的方式包括:
从上述Kubernetes集群中随机抽取预设数量的镜像;或
从上述Kubernetes集群中随机抽取满足第一预设条件的预设数量的镜像;或
将上述Kubernetes集群中所有镜像按任一维度进行排序,按序抽取预设数量的镜像。
在本公开一实施例中,若上述预设条件为达到预设的时间周期,则当达到预设的时间周期时,判断历史达到预设时间周期的次数是否为零;
若历史达到预设时间周期的次数为零,则对上述Kubernetes集群中的所有镜像按任一维度进行排序并编号,从排序后的第一个镜像开始连续抽取预设数量的镜像,调用上述第一检查策略并利用上述公钥按照上述第一检查策略对上述被抽取的镜像进行签名检查;
若历史达到预设时间周期的次数大于零,则获取上一次达到预设时间周期时,对上述Kubernetes集群中的所有镜像进行排序的维度、被检查镜像的数量和最后一个被检查的镜像的编号,根据上述维度、上述数量和上述编号确定待检查镜像。
在本公开一实施例中,上述根据上述维度、上述数量和上述编号确定待检查镜像,具体包括:
对上述Kubernetes集群中的所有镜像按上述维度进行排序并编号,从上述编号下一个镜像开始连续抽取上述数量的镜像,调用上述第一检查策略并利用上述公钥按照上述第一检查策略对上述被抽取的镜像进行签名检查;
若上述Kubernetes集群中最后一个镜像被抽取后,被抽取的镜像的数量仍未达到上述数量,则判断是否更换对上述Kubernetes集群中的所有镜像进行排序的维度;
若更换对上述Kubernetes集群中的所有镜像进行排序的维度,则对上述Kubernetes集群中的所有镜像按更换后的维度进行排序并编号,继续执行上述从排序后的第一个镜像开始连续抽取预设数量的镜像,调用上述第一检查策略并利用上述公钥按照上述第一检查策略对被抽取的镜像进行签名检查的步骤;
若不更换对上述Kubernetes集群中的所有镜像进行排序的维度,则继续从排序后的第一个镜像开始连续抽取,直至被抽取的镜像的数量达到上述数量时停止抽取,调用上述第一检查策略并利用上述公钥按照上述第一检查策略对上述被抽取的镜像进行签名检查。
本公开的第二方面提供了一种镜像安全检查装置,该装置包括:
创建模块,用于创建密钥对,将上述密钥对中的私钥存放在镜像构建流水线中,将上述密钥对中的公钥保存在Kubernetes集群中;
签名模块,用于针对每一个构建完成的镜像,利用上述私钥对上述镜像进行签名;
检查模块,用于当满足预设条件时,根据上述预设条件确定待检查镜像,利用保存在Kubernetes集群中的上述公钥对上述待检查镜像进行签名检查。
本公开的第三方面提供了一种电子设备,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
其中,当上述一个或多个程序被上述一个或多个处理器执行时,使得上述一个或多个处理器执行根据执行上述镜像安全检查方法。
本公开的第四方面还提供了一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行上述镜像安全检查方法。
本公开的第五方面还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述镜像安全检查方法。
本公开提供的镜像安全检查方法包括:创建密钥对,将密钥对中的私钥存放在镜像构建流水线中,将密钥对中的公钥保存在Kubernetes集群中,针对每一个构建完成的镜像,利用私钥对镜像进行签名,当满足预设条件时,根据上述预设条件确定待检查镜像,利用保存在Kubernetes集群中的上述公钥对上述待检查镜像进行签名检查。通过创建密钥对,私钥用来镜像加密签名,公钥用来检查验证镜像签名,避免了因镜像被篡改而导致的攻击,能够保证被部署运行的镜像的来源是可信和安全的,保障了镜像的安全和完整性。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开中的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
图1示意性示出了根据本公开实施例的一种镜像安全检查方法的应用场景图;
图2示意性示出了本公开一实施例提供的一种镜像安全检查方法的流程示意图;
图3示意性示出了本公开一实施例提供的另一种镜像安全检查方法的流程示意图;
图4示意性示出了本公开一实施例提供的另一种镜像安全检查方法的流程示意图;
图5示意性示出了本公开一实施例提供的又一种镜像安全检查方法的流程示意图;
图6示意性示出了本公开一实施例提供的一种镜像安全检查装置的结构框图;
图7示意性示出了本公开一实施例提供的另一种镜像安全检查装置的结构框图;
图8示意性示出了本公开一实施例提供的又一种镜像安全检查装置的结构框图;以及
图9示意性示出了根据本公开实施例的适于实现一种镜像安全检查方法的电子设备的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。本领域技术人员还应理解,实质上任意表示两个或更多可选项目的转折连词和/或短语,无论是在说明书、权利要求书还是附图中,都应被理解为给出了包括这些项目之一、这些项目任一方、或两个项目的可能性。例如,短语“A或B”应当被理解为包括“A”或“B”、或“A和B”的可能性。
附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。在本公开的上下文中,计算机可读介质可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,计算机可读介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。计算机可读介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
本公开提供了一种镜像安全检查方法,包括:创建密钥对,将密钥对中的私钥存放在镜像构建流水线中,将密钥对中的公钥保存在Kubernetes集群中,针对每一个构建完成的镜像,利用私钥对镜像进行签名,当满足预设条件时,根据所述预设条件确定待检查镜像,利用保存在Kubernetes集群中的所述公钥对所述待检查镜像进行签名检查。本公开提供的镜像安全检查方法通过创建一对公私钥,私钥用来镜像加密签名,公钥用来检查验证镜像签名,能够保证被部署运行的镜像的来源是可信和安全的,保证了镜像的安全性,避免了因镜像被篡改而导致的攻击,保障了镜像的安全和完整性。
本公开提供了一种镜像安全检查方法、装置、电子设备、存储介质和程序产品。下面结合附图进行示例性说明。应注意,以下方法中各个操作的序号仅作为该操作的表示以便描述,而不应被看作表示该各个操作的执行顺序。除非明确指出,否则该方法不需要完全按照所示顺序来执行。
需要说明的是,本公开提供的一种镜像安全检查方法、装置、电子设备、存储介质和程序产品可用于金融领域,也可用于除金融领域之外的任意领域,本公开对提供的一种镜像安全检查方法、装置、电子设备、存储介质和程序产品的应用领域不做限定。
图1示意性示出了根据本公开实施例的一种镜像安全检查方法的应用场景图。如图1所示,根据该实施例的应用场景图100可以包括终端设备101、102、103,网络104和服务器/服务器集群105。网络104用以在终端设备101、102、103和服务器/服务器集群105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器/服务器集群105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备101、102、103可以通过各种客户端应用与服务器/服务器集群105进行交互,以向服务器/服务器集群105发送各种请求或接收服务器/服务器集群105返回的结果。
终端设备101、102、103可以是各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器服务器/服务器集群105可以是提供各种服务的服务器,例如对用户利用终端设备101、102、103所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。
需要说明的是,本公开实施例所提供的一种镜像安全检查方法一般可以由服务器/服务器集群105执行。相应地,本公开实施例所提供的一种分布式数据库资源管控装置一般可以设置于服务器/服务器集群105中。本公开实施例所提供的一种镜像安全检查方法也可以由不同于服务器/服务器集群105且能够与终端设备101、102、103和/或服务器/服务器集群105通信的服务器或服务器集群执行。相应地,本公开实施例所提供的一种镜像安全检查装置也可以设置于不同于服务器/服务器集群105且能够与终端设备101、102、103和/或服务器/服务器集群105通信的服务器或服务器集群中。
应该理解,图1中的终端设备、网络和服务器/服务器集群的数目仅仅是示意性的。根据实际需要,可以具有任意数目的终端设备、网络和服务器/服务器集群。
以下将基于图1描述的场景,通过图2~图5对公开实施例的一种镜像安全检查方法进行详细描述。便于本领域技术人员能够更加清楚地了解本公开的技术方案。应当理解,以下说明仅是示例性的,以帮助本领域技术人员理解本公开的方案,并非用以限定本公开的保护范围。
图2示意性示出了本公开一实施例提供的一种镜像安全检查方法的流程示意图。
如图2所示,在本公开一实施例中,该方法包括操作S210~操作S230。
在操作S210,创建密钥对,将上述密钥对中的私钥存放在镜像构建流水线中,将上述密钥对中的公钥保存在Kubernetes集群中。
在操作S220,针对每一个构建完成的镜像,利用上述私钥对上述镜像进行签名。
在操作S230,当满足预设条件时,根据上述预设条件确定待检查镜像,利用保存在Kubernetes集群中的上述公钥对上述待检查镜像进行签名检查。
为了避免因镜像被篡改,而导致镜像出现完整性和安全性等问题,需要对镜像进行检查,现有的检查方式通常只会匹配镜像的名称和TAG标签,并不能解决上述的技术问题,在本实施例中,通过创建密钥对,将密钥对中的私钥存放在镜像构建流水线服务器中,待镜像构建完成后,便可以利用私钥对镜像进行签名,同时将公钥保存在Kubernetes集群中,当满足预设条件时,就利用保存在Kubernetes集群中的公钥对镜像进行签名检查,这里的预设条件有很多种,预设条件不同,待检查镜像也可能不同,例如,当预设条件为存在至少一个镜像被启动时,待检查镜像就是所有被启动的镜像,当预设条件为达到预设的时间周期时,待检查镜像可以是Kubernetes集群中的全部镜像或部分镜像。不同的预设条件均有对应的待检查镜像,可以满足多种镜像检查需求,无论是对被启动的镜像进行签名检查还是定期对Kubernetes集群中的一定数量的镜像进行签名检查,都可以有效地保障镜像的安全性和完整性。
应当理解,本实施例中的关于预设条件的说明仅是示例性的,以帮助本领域技术人员理解本公开的技术方案,并非用以限制本公开的保护范围。可以根据实际需要设定预设条件。
图3示意性示出了本公开一实施例提供的另一种镜像安全检查方法的流程示意图。
如图3所示,在本公开一实施例中,该方法包括操作S310~操作S340。其中,操作S310、操作S320和操作S340分别与操作S210、操作S220和操作S230以相同的方式实现,重复的部分将不再详细赘述。
在操作S310,创建密钥对,将上述密钥对中的私钥存放在镜像构建流水线中,将上述密钥对中的公钥保存在Kubernetes集群中。
在操作S320,针对每一个构建完成的镜像,利用上述私钥对上述镜像进行签名。
在操作S330,创建第一检查策略,并将上述第一检查策略以KubernetesConfigmap形式保存在上述Kubernetes集群中,上述第一检查策略包括:按预设维度对待检查镜像进行排序,按序对上述待检查镜像进行签名检查;或随机逐个对待检查镜像进行签名检查。
在操作S340,当满足预设条件时,根据上述预设条件确定待检查镜像,利用保存在Kubernetes集群中的上述公钥对上述待检查镜像进行签名检查。
在本实施例中,为了进一步提高对Kubernetes集群中的镜像的检查效率,以及使Kubernetes集群自动对镜像进行签名检查,在对镜像进行签名检查前,创建了第一检查策略并保存在Kubernetes集群中,其中,第一检查策略以Kubernetes Configmap形式保存在上述Kubernetes集群中,便于当满足预设条件时,触发Kubernetes集群的ValidatingWebhook机制,使Kubernetes集群自动调用第一检查策略对待检查镜像进行签名检查。待检查镜像可能是一个也可能是多个,且多个待检查镜像在重要性、大小、生成时间等维度可能存在不同,因此,对多个待检查镜像进行检查时,可以先对多个待检查镜像进行预处理,例如,将多个待检查镜像按某个维度进行排序,然后按顺序对多个待检查镜像进行签名检查,也可以不做预处理,随机检查多个待检查镜像。
应当理解,上述实施例中的关于第一检查策略的举例是示例性的,以帮助本领域技术人员理解本公开的技术方案,并非用以限制本公开的保护范围。可以根据实际需要设定第一检查策略。
在本公开一实施例中,Kubernetes集群包括至少一个命名空间,每个镜像必定存放在某一个命名空间,因此,第一检查策略还可以是对Kubernetes集群中预设数量的命名空间中的镜像进行签名检查,或者预先设置一个待检查命名空间名单,检查时只需要检查待检查命名空间名单中的命名空间中的镜像即可,具体选择哪些命名空间进行检查可根据需求进行设定,例如,选择存放的镜像较多或存放的镜像数量达到一定阈值的命名空间进行检查。显然,对Kubernetes集群中预设数量的命名空间中的镜像进行签名检查也存在需要对多个镜像进行签名检查的情况,针对多个待检查的镜像,处理方法与上述另一个关于第一检查策略的实施例相同或相似,在此不再赘述。同样的,针对多个待检查的命名空间的处理方法也与上述另一个关于第一检查策略的实施例相同或相似(按照重要程度等排序后再按序检查),在此不再赘述。
应当理解,上述实施例中的关于第一检查策略的举例是示例性的,以帮助本领域技术人员理解本公开的技术方案,并非用以限制本公开的保护范围。可以根据实际需要设定第一检查策略。
不同的预设条件,待检查镜像可能不同,具体的检查方法也可能不同,以下将以具体的实施例来说明针对不同的预设条件如何确定待检查镜像,以及如何对待检测镜像进行签名检查。
图4示意性示出了本公开一实施例提供的另一种镜像安全检查方法的流程示意图。
如图4所示,在本实施例中,预设条件为存在至少一个镜像被启动,该方法包括操作S410~操作S460。其中,操作S410-操作S430分别与操作S210、操作S220和操作S330以相同的方式实现,重复的部分将不再详细赘述。
在操作S410,创建密钥对,将上述密钥对中的私钥存放在镜像构建流水线中,将上述密钥对中的公钥保存在Kubernetes集群中。
在操作S420,针对每一个构建完成的镜像,利用上述私钥对上述镜像进行签名。
在操作S430,创建第一检查策略,并将上述第一检查策略以KubernetesConfigmap形式保存在上述Kubernetes集群中,上述第一检查策略包括:按预设维度对待检查镜像进行排序,按序对上述待检查镜像进行签名检查;或随机逐个对待检查镜像进行签名检查。
在操作S440,当存在至少一个镜像被启动时,待检查镜像为上述至少一个镜像,触发上述Kubernetes集群的Validating Webhook机制,使上述Kubernetes集群调用上述第一检查策略并利用上述公钥按照上述第一检查策略对上述待检查镜像进行签名检查。
在操作S450,若上述待检查镜像中任一镜像签名检查不通过,则上述镜像启动失败,发送告警信息给与上述镜像相关的应用。
在操作S460,若上述待检查镜像中任一镜像签名检查通过,则启动上述镜像。
在本实施例中,预设条件为存在至少一个镜像被启动,待检查镜像为所有被启动的镜像,此时,触发Kubernetes集群的Validating Webhook机制,使Kubernetes集群利用保存在Kubernetes集群中的公钥按照预设第一检查策略对启动的镜像进行签名检查,这里的第一检查策略可以是将待检查镜像排序,然后按序对待检查镜像进行签名检查,或者,随机逐个的对待检查镜像进行签名检查,例如,按照待检查镜像的大小或重要程度对待检查镜像进行排序,然后按序对待检查镜像进行签名检查,例如,对多个待检查镜像按照重要程度进行排序,具体地可以是按照重要程度从高到低的顺序对多个镜像进行排序,然后按序对多个待检查镜像进行签名检查,若待检查镜像中某一个镜像的签名检查没有通过,则说明该镜像的安全性和完整性存疑,该镜像可能已被篡改,或者该镜像的来源可疑,因此不能启动该镜像,同时,为了安全考虑,还需要将镜像启动失败的消息,以及该镜像可能被篡改等消息组成告警信息发送给与该镜像相关的应用,以便相关人员对该情况进行及时地处理。若待检查镜像中某个镜像的签名检查通过,则启动该镜像。在检查过程中,用户可以随时查看当前检查的详细情况,并指定排序维度或待检查镜像。
应当理解,上述实施例中的关于第一检查策略的举例是示例性的,以帮助本领域技术人员理解本公开的技术方案,并非用以限制本公开的保护范围。可以根据实际需要设定第一检查策略。
图5示意性示出了本公开一实施例提供的又一种镜像安全检查方法的流程示意图。
如图5所示,在本实施例中,预设条件为达到预设的时间周期,该方法包括操作S510~操作S550。其中,操作S510-操作S530分别与操作S210、操作S220和操作S330以相同的方式实现,重复的部分将不再详细赘述。
在操作S510,创建密钥对,将上述密钥对中的私钥存放在镜像构建流水线中,将上述密钥对中的公钥保存在Kubernetes集群中。
在操作S520,针对每一个构建完成的镜像,利用上述私钥对上述镜像进行签名。
在操作S530,创建第一检查策略,并将上述第一检查策略以KubernetesConfigmap形式保存在上述Kubernetes集群中,上述第一检查策略包括:按预设维度对待检查镜像进行排序,按序对上述待检查镜像进行签名检查;或随机逐个对待检查镜像进行签名检查。
在操作S540,当达到预设的时间周期时,确定待检查镜像,上述Kubernetes集群调用上述第一检查策略并利用上述公钥按照上述第一检查策略对上述待检查镜像进行签名检查。
在操作S550,当上述待检查镜像中任一镜像签名检查不通过时,发送告警信息给与上述镜像相关的应用。
在本实施例中,为了保证每一个镜像的安全性和完整性,不仅要对被启动的镜像进行签名检查,还需要定期对Kubernetes集群中的镜像进行签名检查,以便及时发现那些启动频率低的镜像的异常情况,例如,当预设条件为达到预设的时间周期时,确定待检查镜像后,Kubernetes集群调用第一检查策略并利用公钥按照调用的第一检查策略对待检查镜像进行签名检查,这里的待检查镜像可以通过多种方式确定,例如,可以从上述Kubernetes集群中随机抽取满足第一预设条件的预设数量的镜像,例如,从Kubernetes集群中随机抽取7天内被启动次数小于1次的10个镜像。或者,从上述Kubernetes集群中随机抽取预设数量的镜像,例如从Kubernetes集群中随机抽取10个镜像。或者将上述Kubernetes集群中所有镜像按任一维度进行排序,按序抽取预设数量的镜像。例如,将Kubernetes集群中所有镜像按生成时间进行排序,按照顺序抽取5个镜像,例如Kubernetes集群中一共有20个镜像,可以抽取第5-10个镜像。当然,这里的待检查镜像也可以是Kubernetes集群中所有的镜像。在周期性的对Kubernetes集群中的镜像进行签名检查时,若某个镜像检查通过,则继续检查余下待检查的镜像,直至所有待检查镜像均被检查完,若某个镜像检查不通过,则证明该镜像存在风险,例如被篡改,需要对该镜像进行进一步的检查以确定具体情况,因此,需要将检查结果等组成告警信息发送给与该镜像相关的应用,以便相关人员对其进行处理,再继续检查余下的待检查的镜像。
在本公开一实施例中,若上述预设条件为达到预设的时间周期,则当达到预设的时间周期时,判断历史达到预设时间周期的次数是否为零;若历史达到预设时间周期的次数为零,则对上述Kubernetes集群中的所有镜像按任一维度进行排序并编号,从排序后的第一个镜像开始连续抽取预设数量的镜像,调用上述第一检查策略并利用上述公钥按照上述第一检查策略对被抽取的镜像进行签名检查;若历史达到预设时间周期的次数大于零,则获取上一次达到预设时间周期时,对上述Kubernetes集群中的所有镜像进行排序的维度、被检查镜像的数量和最后一个被检查的镜像的编号,根据上述维度、上述数量和上述编号确定待检查镜像。
在本公开一实施例中,根据维度、数量和编号确定待检查镜像,具体包括:对上述Kubernetes集群中的所有镜像按上述维度进行排序并编号,从上述编号下一个镜像开始连续抽取上述数量的镜像,调用上述第一检查策略并利用上述公钥按照上述第一检查策略对被抽取的镜像进行签名检查;若上述Kubernetes集群中最后一个镜像被抽取后,被抽取的镜像的数量仍未达到上述数量,则判断是否更换对上述Kubernetes集群中的所有镜像进行排序的维度;若更换对上述Kubernetes集群中的所有镜像进行排序的维度,则对上述Kubernetes集群中的所有镜像按更换后的维度进行排序并编号,继续执行上述从排序后的第一个镜像开始连续抽取预设数量的镜像,调用上述第一检查策略并利用上述公钥按照上述第一检查策略对被抽取的镜像进行签名检查的步骤;若不更换对上述Kubernetes集群中的所有镜像进行排序的维度,则继续从按上述维度排序后的第一个镜像开始连续抽取,直至被抽取的镜像的数量达到上述数量时停止抽取,调用上述第一检查策略并利用上述公钥按照上述第一检查策略对上述被抽取的镜像进行签名检查。
结合上述两个实施例,当预设条件为达到预设的时间周期时,还可以设置为循环式检查,在检查前,需要判断本次检查是不是第一次检查,若是,则对Kubernetes集群中所有镜像按某个维度进行排序并编号,确定本次检查的镜像的数量,然后按序从第一个镜像开始抽取上述数量的镜像进行签名检查,当所有镜像均被检查后,可以选择更换排序维度或者不更换,若更换排序维度,则按更换后的维度排序后继续执行上述从第一个抽取一定数量的镜像进行签名检查的步骤,若不更换排序维度,则可以继续从头开始抽取镜像进行签名检查,直至被抽取的镜像的数量满足要求,若不是第一次检测,则根据上一次检查的维度、数量和最后一个被检查的镜像的编号进行签名检查。若上一次检查刚好将Kubernetes集群中所有镜像检查完,本次也可以选择新的维度进行签名检查。例如,假设Kubernetes集群中一共有31个镜像,将这31个镜像按生成时间排序(从远到近或从近到远都可以,根据实际需求自行选择),确定本次检查该Kubernetes集群中5个镜像,则第一次检查时从第1个镜像检查至第5个镜像,第二次检查则从第5+1个镜像检查至第5+5个镜像,以此类推,当第7次检查时,从第31个镜像开始检查,当第31个镜像被检查完后,该Kubernetes集群中所有镜像均已被检查,此时可以选择是否按照其它维度对这31个镜像进行排序,若更换为其他维度,则按更换后的维度排序后继续执行上述从第一个抽取一定数量的镜像进行签名检查的步骤,若不更换排序的维度,则将第31个镜像检查完之后,绕回第1个镜像,继续检查,直至本次检查一共检查了5个镜像时结束检查。具体地按照什么维度对Kubernetes集群中所有镜像进行排序,可以让用户预先设置一个维度列表,检查时只需要调用该维度列表并从中任意选择一个排序维度即可,或者按序选择该维度列表中的维度对Kubernetes集群中所有镜像进行排序,也可以使用指令让Kubernetes集群自动选择排序维度,以及自动选择是否更换维度。若在达到预设的时间周期前,Kubernetes集群中新增了镜像,可以重新对使用镜像进行排序,再进行签名检查,也可以将新增的镜像接在已排序的镜像的后面进行签名检查。具体地方法可以根据实际需求设定。在检查过程中,用户可以随时查看当前检查的详细情况,并指定排序维度或待检查镜像。
应当理解,本实施例中的关于确定待检查镜像的方法的举例是示例性的,以帮助本领域技术人员理解本公开的技术方案,并非用以限制本公开的保护范围。可以根据实际需要设定确定待检查镜像的方法。
基于上述镜像安全检查方法,本公开还提供了一种镜像安全检查装置。以下将结合图6-图8对该装置进行详细描述。
图6示意性示出了本公开一实施例提供的一种镜像安全检查装置的结构框图。
如图6所示,在本公开一实施例中,该装置600包括:第一创建模块610、第一签名模块620和第一检查模块630。
第一创建模块610,用于创建密钥对,将上述密钥对中的私钥存放在镜像构建流水线中,将上述密钥对中的公钥保存在Kubernetes集群中。在一实施例中,第一创建模块610可以用于执行前文描述的操作S210,在此不再赘述。
第一签名模块620,用于针对每一个构建完成的镜像,利用上述私钥对上述镜像进行签名。在一实施例中,第一签名模块620可以用于执行前文描述的操作S220,在此不再赘述。
第一检查模块630,用于当满足预设条件时,根据上述预设条件确定待检查镜像,利用保存在Kubernetes集群中的上述公钥对上述待检查镜像进行签名检查。在一实施例中,第一检查模块630可以用于执行前文描述的操作S230,在此不再赘述。
图7示意性示出了本公开一实施例提供的另一种镜像安全检查装置的结构框图。
如图7所示,在本实施例中,预设条件为存在至少一个镜像被启动,该装置700包括:第二创建模块710、第二签名模块720、第三创建模块730、第二检查模块740、第一告警模块750和启动模块760。
其中,第二创建模块710和第二签名模块720分别具有与第一创建模块610和第一签名模块620对应相似或相同的功能,重复的部分不再赘述。
第三创建模块730,用于创建第一检查策略,并将上述第一检查策略以KubernetesConfigmap形式保存在上述Kubernetes集群中,上述第一检查策略包括:按预设维度对上述待检查镜像进行排序,按序对上述待检查镜像进行签名检查;或随机逐个对上述待检查镜像进行签名检查。在一实施例中,第三创建模块730可以用于执行前文描述的操作S430,在此不再赘述。
第二检查模块740,用于当存在至少一个镜像被启动时,待检查镜像为上述至少一个镜像,触发上述Kubernetes集群的Validating Webhook机制,使上述Kubernetes集群调用上述第一检查策略并利用上述公钥按照上述第一检查策略对至少一个上述镜像进行签名检查。在一实施例中,第二检查模块740可以用于执行前文描述的操作S440,在此不再赘述。
第一告警模块750,用于若上述待检查镜像中任一镜像签名检查不通过,则上述镜像启动失败,发送告警信息给与上述镜像相关的应用。在一实施例中,第一告警模块750可以用于执行前文描述的操作S450,在此不再赘述。
启动模块760,用于若上述待检查镜像中任一镜像签名检查通过,则启动上述镜像。在一实施例中,启动模块760可以用于执行前文描述的操作S460,在此不再赘述。
图8示意性示出了本公开一实施例提供的又一种镜像安全检查装置的结构框图。
如图8所示,在本实施例中,预设条件为达到预设的时间周期,该装置800包括:第四创建模块810、第三签名模块820、第五创建模块830、第三检查模块840和第二告警模块850。
其中,第四创建模块810、第三签名模块820和第五创建模块830分别具有与第一创建模块610、第一签名模块620和第三创建模块730对应相似或相同的功能,重复的部分不再赘述。
第三检查模块840,用于当达到预设的时间周期时,确定待检查镜像,上述Kubernetes集群调用上述第一检查策略并利用上述公钥按照上述第一检查策略对上述待检查镜像进行签名检查。在一实施例中,第三检查模块840可以用于执行前文描述的操作S540,在此不再赘述。
第二告警模块850,用于当上述待检查镜像中任一镜像签名检查不通过时,发送告警信息给与上述镜像相关的应用。在一实施例中,第二告警模块850可以用于执行前文描述的操作S550,在此不再赘述。
需要说明的是,装置部分实施例中各模块/单元/子单元等的实施方式、解决的技术问题、实现的功能、以及达到的技术效果分别与方法部分实施例中各对应的步骤的实施方式、解决的技术问题、实现的功能、以及达到的技术效果相同或类似,在此不再赘述。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,第一创建模块610、第一签名模块620和第一检查模块630中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,第一创建模块610、第一签名模块620和第一检查模块630中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,第一创建模块610、第一签名模块620和第一检查模块630中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图9示意性示出了根据本公开实施例的适于实现一种镜像安全检查方法的电子设备的方框图。
如图9所示,根据本公开实施例的电子设备900包括处理器901,其可以根据存储在只读存储器(ROM)902中的程序或者从存储部分908加载到随机访问存储器(RAM)903中的程序而执行各种适当的动作和处理。处理器901例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC))等等。处理器901还可以包括用于缓存用途的板载存储器。处理器901可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
在RAM 903中,存储有电子设备900操作所需的各种程序和数据。处理器901、ROM902以及RAM903通过总线904彼此相连。处理器901通过执行ROM 902和/或RAM 903中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 902和RAM 903以外的一个或多个存储器中。处理器901也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。
根据本公开的实施例,电子设备900还可以包括输入/输出(I/O)接口905,输入/输出(I/O)接口905也连接至总线904。电子设备900还可以包括连接至I/O接口905的以下部件中的一项或多项:包括键盘、鼠标等的输入部分906;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分907;包括硬盘等的存储部分908;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分909。通信部分909经由诸如因特网的网络执行通信处理。驱动器910也根据需要连接至I/O接口905。可拆卸介质911,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器910上,以便于从其上读出的计算机程序根据需要被安装入存储部分908。
本公开还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序包含如上文所述的一种镜像安全检查方法。该计算机可读存储介质可以是上述实施例中描述的装置/设备中所包含的;也可以是单独存在,而未装配入该装置/设备中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
根据本公开的实施例,计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如,根据本公开的实施例,计算机可读存储介质可以包括上文描述的ROM 902和/或RAM 903和/或ROM902和RAM903以外的一个或多个存储器。
本公开的实施例还包括一种计算机程序产品,其包括计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时,该程序代码用于使计算机系统实现本公开实施例所提供的镜像安全检查方法。
在该计算机程序被处理器901执行时执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例,上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。
在一种实施例中,该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中,该计算机程序也可以在网络介质上以信号的形式进行传输、分发,并通过通信部分909被下载和安装,和/或从可拆卸介质911被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
在这样的实施例中,该计算机程序可以通过通信部分909从网络上被下载和安装,和/或从可拆卸介质911被安装。在该计算机程序被处理器901执行时,执行本公开实施例的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。
根据本公开的实施例,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码,具体地,可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如Java,C++,python,“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
以上对本公开的实施例进行了描述。但是,这些实施例仅仅是为了说明的目的,而并非为了限制本公开的范围。尽管已经参照本公开的特定示例性实施例示出并描述了本公开,但是本领域技术人员应该理解,在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下,可以对本公开进行形式和细节上的多种改变。因此,本公开的范围不应该限于上述实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求的等同物来进行限定。
Claims (11)
1.一种镜像安全检查方法,其特征在于,包括:
创建密钥对,将所述密钥对中的私钥存放在镜像构建流水线中,将所述密钥对中的公钥保存在Kubernetes集群中;
针对每一个构建完成的镜像,利用所述私钥对所述镜像进行签名;
当满足预设条件时,根据所述预设条件确定待检查镜像,利用保存在Kubernetes集群中的所述公钥对所述待检查镜像进行签名检查。
2.根据权利要求1所述的镜像安全检查方法,其特征在于,在所述利用所述私钥对所述镜像进行签名之后,所述方法还包括:
创建第一检查策略,并将所述第一检查策略以Kubernetes Configmap形式保存在所述Kubernetes集群中;
所述第一检查策略包括:按预设维度对所述待检查镜像进行排序,按序对所述待检查镜像进行签名检查;或
随机逐个对所述待检查镜像进行签名检查。
3.根据权利要求2所述的镜像安全检查方法,其特征在于,
若所述预设条件为存在至少一个镜像被启动,则所述待检查镜像为所述至少一个镜像;
则所述利用保存在Kubernetes集群中的所述公钥对所述镜像进行签名检查包括:
所述至少一个镜像被启动时,触发所述Kubernetes集群的Validating Webhook机制,使所述Kubernetes集群调用所述第一检查策略并利用所述公钥按照所述第一检查策略对所述待检查镜像进行签名检查;
若所述待检查镜像中任一镜像签名检查不通过,则所述镜像启动失败,发送告警信息给与所述镜像相关的应用;
若所述待检查镜像中任一镜像签名检查通过,则启动所述镜像。
4.根据权利要求2所述的镜像安全检查方法,其特征在于,
若所述预设条件为达到预设的时间周期,则所述利用保存在Kubernetes集群中的所述公钥对所述镜像进行签名检查包括:
所述Kubernetes集群调用所述第一检查策略并利用所述公钥按照所述第一检查策略对所述待检查镜像进行签名检查;
当所述待检查镜像中任一镜像签名检查不通过时,发送告警信息给与所述镜像相关的应用。
5.根据权利要求4所述的镜像安全检查方法,其特征在于,若所述预设条件为达到预设的时间周期,则确定所述待检查镜像的方式包括:
从所述Kubernetes集群中随机抽取预设数量的镜像;或
从所述Kubernetes集群中随机抽取满足第一预设条件的预设数量的镜像;或
将所述Kubernetes集群中所有镜像按任一维度进行排序,按序抽取预设数量的镜像。
6.根据权利要求2所述的镜像安全检查方法,其特征在于,
若所述预设条件为达到预设的时间周期,则当达到预设的时间周期时,判断历史达到预设时间周期的次数是否为零;
若历史达到预设时间周期的次数为零,则对所述Kubernetes集群中的所有镜像按任一维度进行排序并编号,从排序后的第一个镜像开始连续抽取预设数量的镜像,调用所述第一检查策略并利用所述公钥按照所述第一检查策略对被抽取的镜像进行签名检查;
若历史达到预设时间周期的次数大于零,则获取上一次达到预设时间周期时,对所述Kubernetes集群中的所有镜像进行排序的维度、被检查镜像的数量和最后一个被检查的镜像的编号,根据所述维度、所述数量和所述编号确定待检查镜像。
7.根据权利要求6所述的镜像安全检查方法,其特征在于,所述根据所述维度、所述数量和所述编号确定待检查镜像,具体包括:
对所述Kubernetes集群中的所有镜像按所述维度进行排序并编号,从所述编号下一个镜像开始连续抽取所述数量的镜像,调用所述第一检查策略并利用所述公钥按照所述第一检查策略对被抽取的镜像进行签名检查;
若所述Kubernetes集群中最后一个镜像被抽取后,被抽取的镜像的数量仍未达到所述数量,则判断是否更换对所述Kubernetes集群中的所有镜像进行排序的维度;
若更换对所述Kubernetes集群中的所有镜像进行排序的维度,则对所述Kubernetes集群中的所有镜像按更换后的维度进行排序并编号,继续执行所述从排序后的第一个镜像开始连续抽取预设数量的镜像,调用所述第一检查策略并利用所述公钥按照所述第一检查策略对被抽取的镜像进行签名检查的步骤;
若不更换对所述Kubernetes集群中的所有镜像进行排序的维度,则继续从按所述维度排序后的第一个镜像开始连续抽取,直至被抽取的镜像的数量达到所述数量时停止抽取,调用所述第一检查策略并利用所述公钥按照所述第一检查策略对所述被抽取的镜像进行签名检查。
8.一种镜像安全检查装置,其特征在于,包括:
创建模块,用于创建密钥对,将所述密钥对中的私钥存放在镜像构建流水线中,将所述密钥对中的公钥保存在Kubernetes集群中;
签名模块,用于针对每一个构建完成的镜像,利用所述私钥对所述镜像进行签名;
检查模块,用于当满足预设条件时,根据所述预设条件确定待检查镜像,利用保存在Kubernetes集群中的所述公钥对所述待检查镜像进行签名检查。
9.一种电子设备,其特征在于,所述电子设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据执行如权利要求1~7中任一项所述的镜像安全检查方法。
10.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1~7中任一项所述的镜像安全检查方法。
11.一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现根据权利要求1~7中任一项所述的镜像安全检查方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111592925.6A CN114254399A (zh) | 2021-12-23 | 2021-12-23 | 一种镜像安全检查方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111592925.6A CN114254399A (zh) | 2021-12-23 | 2021-12-23 | 一种镜像安全检查方法、装置、电子设备和存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114254399A true CN114254399A (zh) | 2022-03-29 |
Family
ID=80794675
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111592925.6A Pending CN114254399A (zh) | 2021-12-23 | 2021-12-23 | 一种镜像安全检查方法、装置、电子设备和存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114254399A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114978672A (zh) * | 2022-05-19 | 2022-08-30 | 银河麒麟软件(长沙)有限公司 | 一种Docker镜像加密及编排方法与系统 |
-
2021
- 2021-12-23 CN CN202111592925.6A patent/CN114254399A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114978672A (zh) * | 2022-05-19 | 2022-08-30 | 银河麒麟软件(长沙)有限公司 | 一种Docker镜像加密及编排方法与系统 |
CN114978672B (zh) * | 2022-05-19 | 2024-03-26 | 银河麒麟软件(长沙)有限公司 | 一种Docker镜像加密及编排方法与系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11283596B2 (en) | API request and response balancing and control on blockchain | |
US10740492B2 (en) | Data enrichment environment using blockchain | |
US20190116142A1 (en) | Messaging balancing and control on blockchain | |
EP3188051A1 (en) | Systems and methods for search template generation | |
CN113132400B (zh) | 业务处理方法、装置、计算机系统及存储介质 | |
CN114254399A (zh) | 一种镜像安全检查方法、装置、电子设备和存储介质 | |
CN114358147A (zh) | 异常账户识别模型的训练方法、识别方法、装置及设备 | |
CN113495825A (zh) | 线路告警的处理方法、装置、电子设备及可读存储介质 | |
US20190236269A1 (en) | Detecting third party software elements | |
CN116302561A (zh) | 用于应用实例的状态控制方法、装置、设备及存储介质 | |
US11405349B1 (en) | Viral message detection and control in social media messaging | |
CN115495740A (zh) | 一种病毒检测方法和装置 | |
CN114840429A (zh) | 识别版本冲突的方法、装置、设备、介质和程序产品 | |
CN113918525A (zh) | 数据交换调度方法、系统、电子设备、介质及程序产品 | |
CN114301713A (zh) | 风险访问检测模型的训练方法、风险访问检测方法及装置 | |
CN114237821A (zh) | Kubernetes容器集群的自发现方法、装置、电子设备及存储介质 | |
CN113052509A (zh) | 模型评估方法、模型评估装置、电子设备和存储介质 | |
CN115190008B (zh) | 故障处理方法、故障处理装置、电子设备及存储介质 | |
CN114721882B (zh) | 数据备份方法、装置、电子设备及存储介质 | |
CN115840730A (zh) | 文件验证方法、装置、设备及存储介质 | |
CN114996119B (zh) | 故障诊断方法、装置、电子设备及存储介质 | |
CN114640585B (zh) | 一种资源更新方法、装置、电子设备和存储介质 | |
CN113221157B (zh) | 一种设备升级方法和装置 | |
CN114938341B (zh) | 一种环境检测方法、装置、电子设备和存储介质 | |
CN117176576A (zh) | 网络资源变更方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |