CN115185644A - 基于容器交互式应用的检测方法、系统、设备及存储介质 - Google Patents
基于容器交互式应用的检测方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN115185644A CN115185644A CN202210876630.XA CN202210876630A CN115185644A CN 115185644 A CN115185644 A CN 115185644A CN 202210876630 A CN202210876630 A CN 202210876630A CN 115185644 A CN115185644 A CN 115185644A
- Authority
- CN
- China
- Prior art keywords
- detection
- file
- container
- plug
- detected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44521—Dynamic linking or loading; Link editing at or after load time, e.g. Java class loading
- G06F9/44526—Plug-ins; Add-ons
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45591—Monitoring or debugging support
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明提供了基于容器交互式应用的检测方法、系统、设备及存储介质,其中,方法包括:为容器集群中的待测文件建立检测插件配置文件,检测插件配置文件包括检测插件的下载途径和与检测插件下载相关的配置参数;将述检测插件配置文件部署到具有待测文件的容器,当待测文件被启动时,容器中的检测插件激活;检测插件基于配置参数采集相关检测信息并反馈;基于收到的检测信息建立检测任务,并基于配置参数将检测任务和待测文件建立关联关系;基于检测任务进行安全检测,并根据关联关系反馈检测结果信息到待测文件。本发明能够实现插桩和检测设置过程的自动化,能够为用户带来便利,并大大提高安全检测效率。
Description
技术领域
本发明涉及网络安全领域,具体地说,涉及基于容器交互式应用的检测方法、系统、设备及存储介质。
背景技术
交互原本是一个计算机术语。指系统接收来自终端的输入,进行处理,并把结果返回到终端的过程,亦即人机对话。交互式应用安全测试(Interactive applicationsecurity testing,简称IAST)是一个在应用和API中自动化识别和诊断软件漏洞的技术。其中,交互式应用安全检测结合了动静态安全检测,通过对请求进行分析和处理,达到发现安全漏洞的目的。它具备能够溯源漏洞的同时准确度较高的特点。交互式检测的流程包括:接收请求,扫描请求,发送注入污点标记的请求,接收相应结果并进行扫描。持续集成是一种软件开发实践,在容器化持续集成系统中,系统会自动为用户完成构建、打包、部署操作。
而由于IAST需要获取应用相关的请求,需要进行插桩操作。在现在的交互式安全检测实践中,往往需要用户手动插桩,并单独建立检测任务的方案,这导致交互式检测的实施具有一定的使用门槛,也降低了安全检测的效率。
现有的集成了交互式检测能力的持续集成系统中,很多时候并未对如何将安全检测完全融入整个流程做太多考虑,而是将安全检测视作单独的流程。对于交互式检测这样需要额外步骤的检测方式,整体的流程就显得更加繁琐臃肿。
有鉴于此,本发明提出了一种基于容器交互式应用的检测方法、系统、设备及存储介质。
需要说明的是,上述背景技术部分公开的信息仅用于加强对本发明的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
针对现有技术中的问题,本发明的目的在于提供基于容器交互式应用的检测方法、系统、设备及存储介质,克服了现有技术的困难,能够实现插桩和检测设置过程的自动化,能够为用户带来便利,并大大提高安全检测效率。
本发明的实施例提供一种基于容器交互式应用的检测方法,包括以下步骤:
为容器集群中的待测文件建立检测插件配置文件,所述检测插件配置文件包括检测插件的下载途径和与所述检测插件下载相关的配置参数;
将述检测插件配置文件部署到具有所述待测文件的容器,当所述待测文件被启动时,所述容器中的所述检测插件激活;
所述检测插件基于所述配置参数采集相关检测信息并反馈;
基于收到的检测信息建立检测任务,并基于所述配置参数将检测任务和待测文件建立关联关系;
基于所述检测任务进行安全检测,并根据所述关联关系反馈所述检测结果信息到待测文件。
优选地,所述为容器集群中的待测文件建立检测插件配置文件,所述检测插件配置文件包括检测插件的下载途径和与所述检测插件下载相关的配置参数,包括:
为容器集群中的待测文件建立若干种检测插件配置文件,每种所述检测插件配置文件包括检测插件的下载途径和与所述检测插件下载相关的配置参数,所述配置参数包括检测信息的反馈地址和端口;以及
建立所述检测插件配置文件、容器类型与预设的检测任务类型的映射关系表。
优选地,所述将述检测插件配置文件部署到具有所述待测文件的容器,当所述待测文件被启动时,所述容器中的所述检测插件激活,包括:
检测具有所述待测文件的容器的类型;
根据所述容器类型获得对应的检测插件配置文件;
将对应的所述检测插件配置文件下发到所述容器;
当所述待测文件被启动时,激活所述容器中的所述检测插件。
优选地,所述检测插件基于所述配置参数采集相关检测信息并反馈,包括:
被激活的所述检测插件基于所述配置参数采集相关检测信息;
将所述检测信息发送反馈地址和端口。
优选地,所述基于收到的检测信息建立检测任务,并基于所述配置参数将检测任务和待测文件建立关联关系,包括:
基于收到的检测信息和所述待测文件的名称建立检测任务;
基于所述配置参数将检测任务和待测文件建立关联关系。
优选地,所述基于所述检测任务进行安全检测,并根据所述关联关系反馈所述检测结果信息到待测文件,包括:
基于所述检测任务和检测信息进行安全检测,获得检测结果信息;
所述关联关系反馈所述检测结果信息到待测文件。
优选地,所述基于所述检测任务进行安全检测,并根据所述关联关系反馈所述检测结果信息到待测文件,还包括:
根据所述待测文件在所述容器集群中获得同类型待测文件集合;
将所述检测结果信息与所述同类型文件集合中的所有待测文件相关联。
本发明的实施例还提供一种基于容器交互式应用的检测系统,用于实现上述的基于容器交互式应用的检测方法,所述基于容器交互式应用的检测系统包括:
配置文件模块,容器集群中的待测文件建立检测插件配置文件,所述检测插件配置文件包括检测插件的下载途径和与所述检测插件下载相关的配置参数;
文件部署模块,将述检测插件配置文件部署到具有所述待测文件的容器,当所述待测文件被启动时,所述容器中的所述检测插件激活;
信息反馈模块,所述检测插件基于所述配置参数采集相关检测信息并反馈;
检测任务模块,基于收到的检测信息建立检测任务,并基于所述配置参数将检测任务和待测文件建立关联关系;
安全检测模块,基于所述检测任务进行安全检测,并根据所述关联关系反馈所述检测结果信息到待测文件。
本发明的实施例还提供一种基于容器交互式应用的检测设备,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行上述基于容器交互式应用的检测方法的步骤。
本发明的实施例还提供一种计算机可读存储介质,用于存储程序,所述程序被执行时实现上述基于容器交互式应用的检测方法的步骤。
本发明的目的在于提供基于容器交互式应用的检测方法、系统、设备及存储介质,能够实现插桩和检测设置过程的自动化,能够为用户带来便利,并大大提高安全检测效率。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显。
图1是本发明的基于容器交互式应用的检测方法的流程图。
图2是本发明的基于容器交互式应用的检测方法的施例中步骤S110的流程示意图。
图3是本发明的基于容器交互式应用的检测方法的施例中步骤S120的流程示意图。
图4是本发明的基于容器交互式应用的检测方法的施例中步骤S130的流程示意图。
图5是本发明的基于容器交互式应用的检测方法的施例中步骤S140的流程示意图。
图6是本发明的基于容器交互式应用的检测方法的施例中步骤S150的流程示意图。
图7是本发明的基于容器交互式应用的检测系统的模块示意图。
图8是本发明的基于容器交互式应用的检测系统的实施例中配置文件模块的模块示意图。
图9是本发明的基于容器交互式应用的检测系统的实施例中文件部署模块的模块示意图。
图10是本发明的基于容器交互式应用的检测系统的实施例中信息反馈模块的模块示意图。
图11是本发明的基于容器交互式应用的检测系统的实施例中检测任务模块的模块示意图。
图12是本发明的基于容器交互式应用的检测系统的实施例中安全检测模块的模块示意图。
图13、14是本发明的基于容器交互式应用的检测方法的实施过程的示意图。
图15是本发明的基于容器交互式应用的检测设备的示意图。
具体实施方式
以下通过特定的具体实例说明本申请的实施方式,本领域技术人员可由本申请所揭露的内容轻易地了解本申请的其他优点与功效。本申请还可以通过另外不同的具体实施方式加以实施或应用系统,本申请中的各项细节也可以根据不同观点与应用系统,在没有背离本申请的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
下面以附图为参考,针对本申请的实施例进行详细说明,以便本申请所属技术领域的技术人员能够容易地实施。本申请可以以多种不同形态体现,并不限定于此处说明的实施例。
在本申请的表示中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的表示意指结合该实施例或示例表示的具体特征、结构、材料或者特点包括于本申请的至少一个实施例或示例中。而且,表示的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本申请中表示的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于表示目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或隐含地包括至少一个该特征。在本申请的表示中,“多个”的含义是两个或两个以上,除非另有明确具体的限定。
为了明确说明本申请,省略与说明无关的器件,对于通篇说明书中相同或类似的构成要素,赋予了相同的参照符号。
在通篇说明书中,当说某器件与另一器件“连接”时,这不仅包括“直接连接”的情形,也包括在其中间把其它元件置于其间而“间接连接”的情形。另外,当说某种器件“包括”某种构成要素时,只要没有特别相反的记载,则并非将其它构成要素排除在外,而是意味着可以还包括其它构成要素。
当说某器件在另一器件“之上”时,这可以是直接在另一器件之上,但也可以在其之间伴随着其它器件。当对照地说某器件“直接”在另一器件“之上”时,其之间不伴随其它器件。
虽然在一些实例中术语第一、第二等在本文中用来表示各种元件,但是这些元件不应当被这些术语限制。这些术语仅用来将一个元件与另一个元件进行区分。例如,第一接口及第二接口等表示。再者,如同在本文中所使用的,单数形式“一”、“一个”和“该”旨在也包括复数形式,除非上下文中有相反的指示。应当进一步理解,术语“包含”、“包括”表明存在的特征、步骤、操作、元件、组件、项目、种类、和/或组,但不排除一个或多个其他特征、步骤、操作、元件、组件、项目、种类、和/或组的存在、出现或添加。此处使用的术语“或”和“和/或”被解释为包括性的,或意味着任一个或任何组合。因此,“A、B或C”或者“A、B和/或C”意味着“以下任一个:A;B;C;A和B;A和C;B和C;A、B和C”。仅当元件、功能、步骤或操作的组合在某些方式下内在地互相排斥时,才会出现该定义的例外。
此处使用的专业术语只用于言及特定实施例,并非意在限定本申请。此处使用的单数形态,只要语句未明确表示出与之相反的意义,那么还包括复数形态。在说明书中使用的“包括”的意义是把特定特性、区域、整数、步骤、作业、要素及/或成份具体化,并非排除其它特性、区域、整数、步骤、作业、要素及/或成份的存在或附加。
虽然未不同地定义,但包括此处使用的技术术语及科学术语,所有术语均具有与本申请所属技术领域的技术人员一般理解的意义相同的意义。普通使用的字典中定义的术语追加解释为具有与相关技术文献和当前提示的内容相符的意义,只要未进行定义,不得过度解释为理想的或非常公式性的意义。
图1是本发明的基于容器交互式应用的检测方法的流程图。如图1所示,本发明的基于容器交互式应用的检测方法,本发明涉及网络配置领域,是一种基于容器交互式应用的检测方法的方法,本发明的流程包括:
S110、为容器集群中的待测文件建立检测插件配置文件,检测插件配置文件包括检测插件的下载途径和与检测插件下载相关的配置参数。
S120、将述检测插件配置文件部署到具有待测文件的容器,当待测文件被启动时,容器中的检测插件激活。
S130、检测插件基于配置参数采集相关检测信息并反馈。
S140、基于收到的检测信息建立检测任务,并基于配置参数将检测任务和待测文件建立关联关系。
S150、基于检测任务进行安全检测,并根据关联关系反馈检测结果信息到待测文件。
本发明中的安全检测使用的交互式应用安全测试(IAST)不是一个扫描器,IAST持续地从内部监控你应用中的漏洞,在整个开发生命周期中,IAST通过你在开发和测试中使用的工具,实时地提供报警。IAST最显著的特性是它使用插桩来收集安全信息,直接从运行中的代码发现问题,不是源代码扫描(SAST),也不是HTTP扫描(DAST)。新技术的出现,是为了解决老技术历史遗留问题,IAST对应的老技术就是SAST和DAST。传统的应用安全测试主要包括SAST(静态应用安全测试)和DAST(动态应用安全测试)。SAST对应用程序源代码进行白盒分析。分析是在代码的静态视图上运行的,这意味着代码在被检测时并没有运行,SAST的误报率无法得到有效控制,并且难以适用处于生产阶段的系统。DAST对应用进行黑盒测试,无法访问代码细节。DAST产品不用关注底层的技术和平台,因此使用度更广泛,准确率也有不错的保障。但DAST的技术特性决定了其高漏报率的结果,且无法应用于应用的研发阶段。
本发明中的容器是用于将应用与其所有必要文件捆绑到一个运行时环境中的技术。作为一个单元,容器可以在任何环境下的任何操作系统上轻松移动和运行。使用容器可以隔离软件,使其能够在不同的操作系统、硬件、网络、存储系统和安全策略中独立运行。这就允许基于容器的应用在开发、测试和生产环境中无缝转换。由于操作系统并未打包到容器中,因此每个容器仅需使用极少的计算资源,不仅占用空间极小,而且易于安装。通过使用容器,用户可以避免因环境不兼容而导致的崩溃,并且能够在不同机器上获得一致的性能。开发人员可以专注于应用本身,不必分散精力针对不同的服务器环境进行调试或重写。由于容器不含操作系统,因此开发人员可以高效地将容器部署在群集中,而每个容器都可负责保留复杂应用的单一组件。通过将组件放置在独立的容器中,开发人员还可以对个别组件进行更新,而无需重写整个应用。
本发明的基于容器交互式应用的检测方法能够实现插桩和检测设置过程的自动化,能够为用户带来便利,并大大提高安全检测效率。
图2是本发明的基于容器交互式应用的检测方法的施例中步骤S110的流程示意图。图3是本发明的基于容器交互式应用的检测方法的施例中步骤S120的流程示意图。图4是本发明的基于容器交互式应用的检测方法的施例中步骤S130的流程示意图。图5是本发明的基于容器交互式应用的检测方法的施例中步骤S140的流程示意图。图6是本发明的基于容器交互式应用的检测方法的施例中步骤S150的流程示意图。图2至6所示,在图1的实施例中,步骤S110、S120、S130、S140、S150的基础上,通过S111、S112替换了步骤S110,通过S121、S122、S123、S124替换了步骤S120,通过S131、S132替换了步骤S130,通过S141、S142替换了步骤S140,通过S151、S152、S153、S154替换了步骤S150,以下针对每个步骤进行说明:
S111、为容器集群中的待测文件建立若干种检测插件配置文件,每种检测插件配置文件包括检测插件的下载途径和与检测插件下载相关的配置参数,配置参数包括检测信息的反馈地址和端口。以及
S112、建立检测插件配置文件、容器类型与预设的检测任务类型的映射关系表。
S121、检测具有待测文件的容器的类型。本实施例中,采用Docker容器引擎,Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的Linux或Windows操作系统的机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。Docker使用客户端-服务器(C/S)架构模式,使用远程API来管理和创建Docker容器。Docker容器通过Docker镜像来创建。容器与镜像的关系类似于面向对象编程中的对象与类。Docker容器网络有四种模式,分别是None、Bridge、Container和Host。下面,我就来详细讲解一下这四种类型的网络模式。None类型的网络,即没有网络,Docker容器不会设置容器内网络的任何信息,不会对网络进行任何配置,但是可以给该容器添加配置,给予其网络环境。Bridge类型的网络是Docker容器默认的网络类型,在这种模式下,Docker会为容器虚拟出一个网络,所有的Container容器都会分配一个处于这个网络的IP地址,不同的Container之间可以互相通信。Container模式可以让多个容器之间相互通讯,即容器之间共享网络。Host模式会让容器与主机共享网络,此时映射的端口可能会生产冲突,但是容器的其余部分(文件系统、进程等)依然是隔离的,此时容器与宿主机共享网络。
S122、根据容器类型获得对应的检测插件配置文件。
S123、将对应的检测插件配置文件下发到容器。
S124、当待测文件被启动时,激活容器中的检测插件。
S131、被激活的检测插件基于配置参数采集相关检测信息。
S132、将检测信息发送反馈地址和端口。
S141、基于收到的检测信息和待测文件的名称建立检测任务。
S142、基于配置参数将检测任务和待测文件建立关联关系。
S151、基于检测任务和检测信息进行安全检测,获得检测结果信息。
S152、关联关系反馈检测结果信息到待测文件。
S153、根据待测文件在容器集群中获得同类型待测文件集合。
S154、将检测结果信息与同类型文件集合中的所有待测文件相关联,从而利用一次检测的结果对同类型的待测文件进行标注,节约算力。
本发明能够实现插桩和检测设置过程的自动化,能够为用户带来便利,并大大提高安全检测效率。
图7是本发明的基于容器交互式应用的检测系统的模块示意图。如图7所示,本发明的基于容器交互式应用的检测系统,包括但不限于:
配置文件模块51,容器集群中的待测文件建立检测插件配置文件,检测插件配置文件包括检测插件的下载途径和与检测插件下载相关的配置参数。
文件部署模块52,将述检测插件配置文件部署到具有待测文件的容器,当待测文件被启动时,容器中的检测插件激活。
检测信息模块53,检测插件基于配置参数采集相关检测信息并反馈。
检测任务模块54,基于收到的检测信息建立检测任务,并基于配置参数将检测任务和待测文件建立关联关系。
安全检测模块55,基于检测任务进行安全检测,并根据关联关系反馈检测结果信息到待测文件。
上述模块的实现原理参见基于容器交互式应用的检测方法中的相关介绍,此处不再赘述。
本发明的基于容器交互式应用的检测系统能够实现插桩和检测设置过程的自动化,能够为用户带来便利,并大大提高安全检测效率。
图8是本发明的基于容器交互式应用的检测系统的实施例中配置文件模块的模块示意图。图9是本发明的基于容器交互式应用的检测系统的实施例中文件部署模块的模块示意图。图10是本发明的基于容器交互式应用的检测系统的实施例中信息反馈模块的模块示意图。图11是本发明的基于容器交互式应用的检测系统的实施例中检测任务模块的模块示意图。图12是本发明的基于容器交互式应用的检测系统的实施例中安全检测模块的模块示意图。图8至12所示,在图8装置实施例的基础上,本发明的基于容器交互式应用的检测系统通过插件配置模块511、映射关系模块512替换了配置文件模块51。通过容器检测模块521、文件获得模块522、文件下发模块523、文件激活模块524替换了文件部署模块52。通过参数采集模块531、信息反馈模块532替换了检测信息模块53。通过任务建立模块541、关联关系模块542替换了检测任务模块54。通过检测结果模块551、结果反馈模块552、文件集合模块553、结果关联模块554替换了安全检测模块55。
以下针对每个模块进行说明:
插件配置模块511,为容器集群中的待测文件建立若干种检测插件配置文件,每种检测插件配置文件包括检测插件的下载途径和与检测插件下载相关的配置参数,配置参数包括检测信息的反馈地址和端口。
映射关系模块512,建立检测插件配置文件、容器类型与预设的检测任务类型的映射关系表。
容器检测模块521,检测具有待测文件的容器的类型。
文件获得模块522,根据容器类型获得对应的检测插件配置文件。
文件下发模块523,将对应的检测插件配置文件下发到容器。
文件激活模块524,当待测文件被启动时,激活容器中的检测插件。
参数采集模块531,被激活的检测插件基于配置参数采集相关检测信息。
信息反馈模块532,将检测信息发送反馈地址和端口。
任务建立模块541,基于收到的检测信息和待测文件的名称建立检测任务。
关联关系模块542,基于配置参数将检测任务和待测文件建立关联关系。
检测结果模块551,基于检测任务和检测信息进行安全检测,获得检测结果信息。
结果反馈模块552,关联关系反馈检测结果信息到待测文件。
文件集合模块553,根据待测文件在容器集群中获得同类型待测文件集合。
结果关联模块554,将检测结果信息与同类型文件集合中的所有待测文件相关联。
上述步骤的实现原理参见基于容器交互式应用的检测方法中的相关介绍,此处不再赘述。
图13、14是本发明的基于容器交互式应用的检测方法的实施过程的示意图。参考图13、14所示,本发明具体实施方案如下:
服务于容器集群的服务器2中生成插桩配置,包括插件文件下载和相关部署配置。服务器2通过检测具有待测文件的容器的类型,来获得对应的检测插件配置文件。将对应的检测插件配置文件下发到容器。在容器1的部署过程中将参数添加到部署任务中。在容器1部署后,插件文件(Agent插件文件)将随之启动。当待测文件被启动时,激活容器中的检测插件。检测端将通过插件文件收到相关参数,并根据默认模板自动创建任务,根据参数将其与应用进行关联。在容器1进行功能测试任务时,通过插件文件自动对请求进行检测。这一流程中用户无需额外配置,在功能测试完成后,能够同步获得iast检测报告。本发明中,使用Agent文件作为插件文件。插件文件是云安全中心的Agent插件安装了Agent插件后的容器才能受到云安全中心的保护。Agent会实时向云安全中心服务器端上报Agent在线信息。如果云安全中心Agent没有按时上报其在线信息,云安全中心服务器端会在预设时间内判定该服务器不在线,并在云安全中心控制台中将该服务器的保护状态变更为未受保护。
其中,进行交互式检测的应用端(容器1中)通过插件文件根据参数中的引擎地址和引擎端口,向这一地址的引擎发送相关参数;并触发引擎的自动创建检测任务流程。交互式检测的引擎端(服务器2中)基于接受插件文件所传来的信息,记录应用名称参数。交互式检测的引擎端。交互式检测的引擎端根据默认检测设置,自动创建检测任务,以应用名称命名检测任务。交互式检测的引擎端同时对于持续集成系统中同名的应用,将自动进行结果的关联,从而利用一次检测的结果对同类型的待测文件进行标注,节约算力。当用户发起测试,插件文件会获取请求,引擎将自动对请求进行检测,最终得到安全扫描报告。
在任一公司使用持续集成系统时,若对应用安全有要求,那么在误报率和漏报率上都有良好表现的交互式检测将会成为首选,取代误报率居高不下的静态检测。
由于其原理使然,在使用交互式检测时,必然会需要经过插桩和交互式检测任务配置流程。为了提升用户体验,提高安全检测效率,如何实现这一过程的自动化也将成为不得不面对的问题。
在这一场景中,使用本发明所描述的方法,实现插桩和任务创建的自动化,将大大提高系统的使用效率,为交互式安全检测的推广提供便利。
与现有技术相比,本发明的技术要点包括了:
本发明根据使用时用户的反馈,基于现有的容器集群技术,对交互式检测的流程进行自动化实现,填补了相关的技术空白,简化了安全检测的用户操作流程,提高了检测效率。
本发明实施例还提供一种基于容器交互式应用的检测设备,包括处理器。存储器,其中存储有处理器的可执行指令。其中,处理器配置为经由执行可执行指令来执行的基于容器交互式应用的检测方法的步骤。
如上所示,该实施例本发明的基于容器交互式应用的检测系统能够实现插桩和检测设置过程的自动化,能够为用户带来便利,并大大提高安全检测效率。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“平台”。
图15是本发明的基于容器交互式应用的检测设备的示意图。下面参照图15描述根据本发明的这种实施方式的电子设备600。图15所示的电子设备600仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图15所示,电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于:至少一个处理单元610、至少一个存储单元620、连接不同平台组件(包括存储单元620和处理单元610)的总线630、显示单元640等。
其中,存储单元存储有程序代码,程序代码可以被处理单元610执行,使得处理单元610执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。例如,处理单元610可以执行如图1中所示的步骤。
存储单元620可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202,还可以进一步包括只读存储单元(ROM)6203。
存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204,这样的程序模块6205包括但不限于:处理系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线630可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备600交互的设备通信,和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且,电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器660可以通过总线630与电子设备600的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备600使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储平台等。
本发明实施例还提供一种计算机可读存储介质,用于存储程序,程序被执行时实现的基于容器交互式应用的检测方法的步骤。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述电子处方流转处理方法部分中描述的根据本发明各种示例性实施方式的步骤。
如上所示,该实施例本发明的基于容器交互式应用的检测系统能够实现插桩和检测设置过程的自动化,能够为用户带来便利,并大大提高安全检测效率。
根据本发明的实施方式的用于实现上述方法的程序产品800,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读存储介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明处理的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
综上,本发明的目的在于提供基于容器交互式应用的检测方法、系统、设备及存储介质,能够实现插桩和检测设置过程的自动化,能够为用户带来便利,并大大提高安全检测效率。
以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明,不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本发明的保护范围。
Claims (10)
1.一种基于容器交互式应用的检测方法,其特征在于,包括以下步骤:
为容器集群中的待测文件建立检测插件配置文件,所述检测插件配置文件包括检测插件的下载途径和与所述检测插件下载相关的配置参数;
将述检测插件配置文件部署到具有所述待测文件的容器,当所述待测文件被启动时,所述容器中的所述检测插件激活;
所述检测插件基于所述配置参数采集相关检测信息并反馈;
基于收到的检测信息建立检测任务,并基于所述配置参数将检测任务和待测文件建立关联关系;
基于所述检测任务进行安全检测,并根据所述关联关系反馈所述检测结果信息到待测文件。
2.如权利要求1所述的基于容器交互式应用的检测方法,其特征在于,所述为容器集群中的待测文件建立检测插件配置文件,所述检测插件配置文件包括检测插件的下载途径和与所述检测插件下载相关的配置参数,包括:
为容器集群中的待测文件建立若干种检测插件配置文件,每种所述检测插件配置文件包括检测插件的下载途径和与所述检测插件下载相关的配置参数,所述配置参数包括检测信息的反馈地址和端口;以及
建立所述检测插件配置文件、容器类型与预设的检测任务类型的映射关系表。
3.如权利要求2所述的基于容器交互式应用的检测方法,其特征在于,所述将述检测插件配置文件部署到具有所述待测文件的容器,当所述待测文件被启动时,所述容器中的所述检测插件激活,包括:
检测具有所述待测文件的容器的类型;
根据所述容器类型获得对应的检测插件配置文件;
将对应的所述检测插件配置文件下发到所述容器;
当所述待测文件被启动时,激活所述容器中的所述检测插件。
4.如权利要求3所述的基于容器交互式应用的检测方法,其特征在于,所述检测插件基于所述配置参数采集相关检测信息并反馈,包括:
被激活的所述检测插件基于所述配置参数采集相关检测信息;
将所述检测信息发送反馈地址和端口。
5.如权利要求1所述的基于容器交互式应用的检测方法,其特征在于,所述基于收到的检测信息建立检测任务,并基于所述配置参数将检测任务和待测文件建立关联关系,包括:
基于收到的检测信息和所述待测文件的名称建立检测任务;
基于所述配置参数将检测任务和待测文件建立关联关系。
6.如权利要求1所述的基于容器交互式应用的检测方法,其特征在于,所述基于所述检测任务进行安全检测,并根据所述关联关系反馈所述检测结果信息到待测文件,包括:
基于所述检测任务和检测信息进行安全检测,获得检测结果信息;
所述关联关系反馈所述检测结果信息到待测文件。
7.如权利要求1所述的基于容器交互式应用的检测方法,其特征在于,所述基于所述检测任务进行安全检测,并根据所述关联关系反馈所述检测结果信息到待测文件,还包括:
根据所述待测文件在所述容器集群中获得同类型待测文件集合;
将所述检测结果信息与所述同类型文件集合中的所有待测文件相关联。
8.一种基于容器交互式应用的检测系统,其特征在于,包括:
配置文件模块,容器集群中的待测文件建立检测插件配置文件,所述检测插件配置文件包括检测插件的下载途径和与所述检测插件下载相关的配置参数;
文件部署模块,将述检测插件配置文件部署到具有所述待测文件的容器,当所述待测文件被启动时,所述容器中的所述检测插件激活;
信息反馈模块,所述检测插件基于所述配置参数采集相关检测信息并反馈;
检测任务模块,基于收到的检测信息建立检测任务,并基于所述配置参数将检测任务和待测文件建立关联关系;
安全检测模块,基于所述检测任务进行安全检测,并根据所述关联关系反馈所述检测结果信息到待测文件。
9.一种基于容器交互式应用的检测设备,其特征在于,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至7中任意一项所述基于容器交互式应用的检测方法的步骤。
10.一种计算机可读存储介质,用于存储程序,其特征在于,所述程序被处理器执行时实现权利要求1至7中任意一项所述基于容器交互式应用的检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210876630.XA CN115185644A (zh) | 2022-07-25 | 2022-07-25 | 基于容器交互式应用的检测方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210876630.XA CN115185644A (zh) | 2022-07-25 | 2022-07-25 | 基于容器交互式应用的检测方法、系统、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115185644A true CN115185644A (zh) | 2022-10-14 |
Family
ID=83521376
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210876630.XA Pending CN115185644A (zh) | 2022-07-25 | 2022-07-25 | 基于容器交互式应用的检测方法、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115185644A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117130917A (zh) * | 2023-08-28 | 2023-11-28 | 北京安普诺信息技术有限公司 | 一种容器化Java应用的灰盒测试方法、装置及系统 |
-
2022
- 2022-07-25 CN CN202210876630.XA patent/CN115185644A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117130917A (zh) * | 2023-08-28 | 2023-11-28 | 北京安普诺信息技术有限公司 | 一种容器化Java应用的灰盒测试方法、装置及系统 |
| CN117130917B (zh) * | 2023-08-28 | 2024-01-23 | 北京安普诺信息技术有限公司 | 一种容器化Java应用的灰盒测试方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11151024B2 (en) | Dynamic automation of DevOps pipeline vulnerability detecting and testing | |
| US11048620B2 (en) | Distributed system test device | |
| US11178207B2 (en) | Software version control without affecting a deployed container | |
| US10469512B1 (en) | Optimized resource allocation for virtual machines within a malware content detection system | |
| Jacobsen et al. | Contain this, unleashing docker for hpc | |
| US11748473B2 (en) | Intrusion detection in micro-services through container telemetry and behavior modeling | |
| JP7316726B2 (ja) | ソフトウェア・コンポーネントに関連するセキュリティ・リスクを検出する方法、システム、およびプログラム | |
| JP2021509498A (ja) | コンピューティング・デバイス | |
| US11200048B2 (en) | Modification of codified infrastructure for orchestration in a multi-cloud environment | |
| US11575689B2 (en) | System, method, and computer program product for dynamically configuring a virtual environment for identifying unwanted data | |
| US20170286095A1 (en) | Software discovery using exclusion | |
| US20190188010A1 (en) | Remote Component Loader | |
| US11100233B2 (en) | Optimizing operating system vulnerability analysis | |
| US11163552B2 (en) | Federated framework for container management | |
| US20210109841A1 (en) | Application containerization based on trace information | |
| CN115185644A (zh) | 基于容器交互式应用的检测方法、系统、设备及存储介质 | |
| Seo et al. | A study on memory dump analysis based on digital forensic tools | |
| US11227052B2 (en) | Malware detection with dynamic operating-system-level containerization | |
| US10853215B2 (en) | Intelligent configuration management of user devices | |
| US20200117482A1 (en) | Dynamic loading of a java agent into a running process through direct process memory manipulation | |
| US11669440B2 (en) | Disk image selection in virtualized network environments | |
| US20220291946A1 (en) | Software container configuration | |
| US20200401379A1 (en) | Automated microservice creation based on user interaction | |
| US20230315836A1 (en) | Software discovery within software packaging and deployment systems | |
| CN105718341A (zh) | 一种测试的方法及管理装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |