本發明公開了一種高危docker?image禁止啟動方法，包括以下步驟：通過Bwins軟件獲取連接到Linux Docker守護進程；通過守護進程到達控制Linux系統中Docker服務的控制權限；通過docker images命令獲取當前docker host所有鏡像中安裝包版本即系統版本，對比Bwins?client中的系統及軟件漏洞信息，鏡像中所有漏洞掃描結果，進行風險歸類上傳至Bwins?server；在接受到啟動一個Docker鏡像命令請求時，Bwins?client從Bwins?server獲取設置的安全威脅分值占比進行計算鏡像安全分值；獲取設置的安全啟動閾值；對比鏡像安全分值與設置的安全啟動閾值，借助遠程Bash管控機制，進行該鏡像的啟用或禁用狀態操作。本發明與現有技術相比的優點在于：通過Bwins軟件，在啟動前掃描內容，在流程開始前，了解鏡像安全程度，從根本上杜絕自帶病毒或漏洞的Docker容器。

技術領域

本發明涉及Docker-Image安全管理技術領域，具體是指一種高危docker-image禁止啟動方法。

背景技術

因Docker容器的公共性質，導致容器安全參差不齊，很多帶有病毒的容器，在企業環境中傳播，造成企業服務或企業數據癱瘓泄露，導致企業經濟損失。

發明內容

本發明要解決的技術問題是克服以上技術缺陷，提供一種高危docker-image禁止啟動方法，通過Bwins軟件，在啟動前掃描內容，在流程開始前，了解鏡像安全程度，從根本上杜絕自帶病毒或漏洞的Docker容器。

為解決上述技術問題，本發明提供的技術方案為：一種高危docker-image禁止啟動方法，包括以下步驟：

步驟一：通過Bwins開發的利用Docker.socket擊穿Docker容器和從Docker容器中逃逸的邏輯技術，獲取連接到Linux Docker守護進程；

步驟二：通過連接的Docker守護進程到達控制Linux系統中Docker服務的控制權限；

步驟三：通過docker images命令獲取當前docker host上所有的鏡像，獲取所有鏡像中安裝包版本即系統版本，對比Bwins-client中的系統及軟件漏洞信息，將獲取到的Docker鏡像中所有漏洞掃描結果，進行風險歸類上傳至Bwins-server；

步驟四：在接受到啟動一個Docker鏡像命令請求時，Bwins-client將從Bwins-server獲取設置的安全威脅分值占比進行計算鏡像安全分值；

步驟五：獲取設置的安全啟動閾值；

步驟六：對比鏡像安全分值與設置的安全啟動閾值，借助《DockerHost-Bash安全防護方法》中的遠程Bash管控機制，進行該鏡像的啟用或禁用狀態操作。

本發明與現有技術相比的優點在于：使用Docker容器逃逸、Docker容器擊穿技術獲取對docker host的控制，使用docker client中的掃描功能對docker host中的dockerimage進行安全掃描及安全評估，通過對比安全啟動閾值和鏡像閾值，低于設置閾值的鏡像做stop處理，達到高危Docker鏡像禁止啟動原理，從根本上杜絕自帶病毒或漏洞的Docker容器。

附圖說明

圖1是本發明的流程圖。

具體實施方式

下面對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其它實施例，都屬于本發明保護的范圍。

實施例1