本發(fā)明公開了一種面向容器化部署應用的安全靜態(tài)檢測方法及裝置，該方法包括：獲取預設的安全檢測規(guī)則；根據(jù)所述安全檢測規(guī)則采用靜態(tài)代碼掃描的方法對第一容器的環(huán)境配置以及部署在第二容器的應用的配置信息進行檢測，其中，應用的邏輯代碼部署在所述第一容器。本發(fā)明將應用的邏輯代碼部署在第一容器，將應用的配置文件部署在第二容器，解耦了配置文件與邏輯代碼的強綁定，實現(xiàn)了安全檢測的統(tǒng)一性、規(guī)范性，也更好的支持了應用邏輯代碼和容器資源的靈活調(diào)整，本發(fā)明能夠?qū)崿F(xiàn)在容器化部署的應用涉及的配置文件進行修改后的安全檢測，可避免運行中的應用因相關(guān)配置的調(diào)整而出現(xiàn)相關(guān)的安全風險。

技術(shù)領域

本發(fā)明涉及安全檢測技術(shù)領域，具體而言，涉及一種面向容器化部署應用的安全靜態(tài)檢測方法及裝置。

背景技術(shù)

目前應用安全檢測常用靜態(tài)代碼掃描的方法。靜態(tài)代碼掃描注重對應用邏輯代碼中語言規(guī)范、密碼明文、SQL變量等風險內(nèi)容的檢測。目前，靜態(tài)代碼掃描方法主要在應用部署前對應用的配置文件進行檢測，當應用邏輯代碼部署運行時出現(xiàn)相應配置文件內(nèi)容修改時則不會再次對應用邏輯代碼進行檢查。由此可見，現(xiàn)有的方法無法對應用運行中因配置文件的調(diào)整而出現(xiàn)相關(guān)的安全風險進行檢測。

發(fā)明內(nèi)容

本發(fā)明為了解決上述背景技術(shù)中的至少一個技術(shù)問題，提出了一種面向容器化部署應用的安全靜態(tài)檢測方法及裝置。

為了實現(xiàn)上述目的，根據(jù)本發(fā)明的一個方面，提供了一種面向容器化部署應用的安全靜態(tài)檢測方法，該方法包括：

獲取預設的安全檢測規(guī)則；

根據(jù)所述安全檢測規(guī)則采用靜態(tài)代碼掃描的方法對第一容器的環(huán)境配置以及部署在第二容器的應用的配置信息進行檢測，其中，應用的邏輯代碼部署在所述第一容器。

可選的，所述根據(jù)所述安全檢測規(guī)則采用靜態(tài)代碼掃描的方法對第一容器的環(huán)境配置以及部署在第二容器的應用的配置信息進行檢測，具體為：

安全檢測裝置根據(jù)所述安全檢測規(guī)則采用靜態(tài)代碼掃描的方法對第一容器的環(huán)境配置以及部署在第二容器的應用的配置信息進行檢測，其中，所述安全檢測裝置部署在所述第一容器。

可選的，該面向容器化部署應用的安全靜態(tài)檢測方法，還包括：

在應用部署時，將應用的邏輯代碼部署在第一容器，將應用的配置信息部署在第二容器；

將安全檢測裝置部署在所述第一容器，以對所述第一容器的環(huán)境配置以及所述第二容器中的應用的配置信息進行檢測。

可選的，所述安全檢測規(guī)則包括：檢測目標文件、檢測方式以及檢測標準。

可選的，所述獲取預設的安全檢測規(guī)則，具體為：

所述安全檢測裝置從預設的安全規(guī)則裝置中獲取所述安全檢測規(guī)則，其中，所述安全規(guī)則裝置中的安全檢測規(guī)則為安全控制裝置下發(fā)的，所述安全控制裝置用于根據(jù)用戶的指令生成安全檢測規(guī)則。

可選的，該面向容器化部署應用的安全靜態(tài)檢測方法，還包括：

所述安全檢測裝置在每次檢測結(jié)束后將檢測結(jié)果發(fā)送到所述安全控制裝置。

可選的，所述根據(jù)所述安全檢測規(guī)則采用靜態(tài)代碼掃描的方法對第一容器的環(huán)境配置以及部署在第二容器的應用的配置信息進行檢測，包括：

在每次對所述應用的配置信息進行更改后，根據(jù)所述安全檢測規(guī)則采用靜態(tài)代碼掃描的方法對第一容器的環(huán)境配置以及部署在第二容器的應用的配置信息進行檢測。

可選的，該面向容器化部署應用的安全靜態(tài)檢測方法，還包括：

根據(jù)用戶的修改指令對部署在第二容器中的應用的配置信息進行修改。

可選的，所述安全檢測裝置以SideCar模式部署在所述第一容器。