本發(fā)明一方面提供了一種從本地docker鏡像中提取文件內(nèi)容的方法，包括以下步驟：通過(guò)Docker API(Application Program Interface，應(yīng)用程序接口)枚舉當(dāng)前主機(jī)鏡像列表；遍歷鏡像列表，獲取鏡像id以及層的存放路徑，形成層鏈表，逐層掃描層鏈表，獲取層的安裝包信息；形成層鏈表的方法包括以下步驟：從鏡像列表中選取一個(gè)鏡像，通Docker API獲取該鏡像的詳細(xì)信息；判斷該鏡像的存儲(chǔ)方式是否為有效驅(qū)動(dòng)；若是，進(jìn)入第一讀取路徑；若否，進(jìn)入第二讀取路徑。本發(fā)明的另一方面提供了一種從本地docker鏡像中提取文件內(nèi)容的裝置，包括：遍歷判斷模塊、第一讀取路徑模塊和第二讀取路徑模塊。

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)信息處理領(lǐng)域領(lǐng)域，尤其涉及一種從本地docker鏡像中提取文件內(nèi)容的方法及裝置。

背景技術(shù)

目前，Docker是當(dāng)前最主流的開(kāi)源的應(yīng)用容器引擎，讓開(kāi)發(fā)者可以打包他們的應(yīng)用以及依賴包到一個(gè)可移植的容器中，然后發(fā)布到機(jī)器上，從而實(shí)現(xiàn)一次創(chuàng)建、任意運(yùn)行的目的。Docker的使用核心就是鏡像，而鏡像倉(cāng)庫(kù)作為鏡像存儲(chǔ)的后端在Docker的發(fā)展過(guò)程中起著舉足輕重的作用。在容器運(yùn)行環(huán)境下，所有服務(wù)程序均被打包到容器鏡像中，隨著鏡像包一起發(fā)布，由于在鏡像打包發(fā)布過(guò)程中存在不規(guī)范的操作，不合法的安裝包下載源，中間人攻擊等原因，導(dǎo)致鏡像引入木馬，或者漏洞，這樣就需要提供一種機(jī)制快速提取鏡像中的文件內(nèi)容，發(fā)現(xiàn)鏡像包中存在的各種CVE(Common Vulnerabilities and Exposures，漏洞)。

現(xiàn)有的開(kāi)源版鏡像風(fēng)險(xiǎn)掃描工具clair/clairctl，該工具提供一般掃描方法：

1)根據(jù)鏡像id(identity，身份識(shí)別碼)，解析鏡像包信息，獲取層id列表。

2)通過(guò)鏡像層傳入API發(fā)送層的id信息，clair將組裝url(Uniform ResourceLocator，統(tǒng)一資源定位符)通過(guò)本地docker api從docker engine(鏡像源站)中下載指定鏡像層。

3)內(nèi)存中解壓層的所有文件，找到安裝包信息數(shù)據(jù)庫(kù)文件，掃描層的安裝包信息并返回結(jié)果。

但該掃描方法沒(méi)有針對(duì)本地鏡像特點(diǎn)優(yōu)化數(shù)據(jù)訪問(wèn)方式，如層的訪問(wèn)順序，解壓方法，導(dǎo)致CPU(Central Processing Unit，中央處理器)，內(nèi)存性能消耗大，掃描速度慢。

因此，本領(lǐng)域亟需一種能夠更好從本地docker鏡像中提取文件內(nèi)容的方法，以提高訪問(wèn)速度。

有鑒于此，提出本發(fā)明。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種能夠更好從本地docker鏡像中提取文件內(nèi)容的方法及裝置，以解決現(xiàn)有獲取本地Docker鏡像中相關(guān)文件信息過(guò)程中CPU、內(nèi)存性能消耗大，掃描速度慢的技術(shù)問(wèn)題。技術(shù)方案如下：

本發(fā)明一方面提供了一種從本地docker鏡像中提取文件內(nèi)容的方法，包括以下步驟：

通過(guò)Docker API(Application Program Interface，應(yīng)用程序接口)枚舉當(dāng)前主機(jī)鏡像列表；

遍歷鏡像列表，獲取鏡像id以及層的存放路徑，形成層鏈表，逐層掃描層鏈表，獲取層的安裝包信息。

優(yōu)選的，形成層鏈表的方法包括以下步驟：

從鏡像列表中選取一個(gè)鏡像，通Docker API獲取該鏡像的詳細(xì)信息；

判斷該鏡像的存儲(chǔ)方式是否為有效驅(qū)動(dòng)；

若是，進(jìn)入第一讀取路徑，所述第一讀取路徑包括以下步驟：

通過(guò)有效驅(qū)動(dòng)，獲取鏡像id，以及層在主機(jī)的存放路徑，形成層鏈表；