本公開實施例所提供的容器鏡像檢測方法和裝置、電子設備、存儲介質，屬于計算機技術領域。該容器鏡像檢測方法，包括：獲取待檢測的原始容器鏡像；對所述原始容器鏡像進行打包，得到初步容器鏡像；對所述初步容器鏡像進行解壓，得到所述目標容器鏡像；通過Clair工具對所述目標容器鏡像進行特征提取，得到特征數據；通過所述Clair工具將所述特征數據與預設的CVE漏洞數據庫進行比對，查詢漏洞數據。本公開實施例可以實現自動掃描容器鏡像的漏洞數據，并提高漏洞掃描的準確性。

技術領域

本公開涉及計算機技術領域，尤其涉及容器鏡像檢測方法和裝置、電子設備、存儲介質。

背景技術

隨著計算機的發展，相關鏡像產品越來越多，其中，常見的鏡像產品包括容器鏡像。容器鏡像是一種存儲于鏡像服務器的靜態資源，并且，容器鏡像是對應用程序的代碼及其運行環境進行標準化封裝，從而得到的一種特殊的文件系統。而容器是基于容器鏡像運行的，容器鏡像通過啟動命令會以容器的形式運行。即，若容器鏡像出現異常(例如容器鏡像中存在漏洞數據)，則對應的容器也存在不安全影響，從而可能導致黑客篡改鏡像元數據并植入惡意代碼來實現攻擊。

發明內容

本公開的主要目的在于提出一種容器鏡像檢測方法和裝置、電子設備、存儲介質，可以實現自動掃描容器鏡像的漏洞數據，并提高漏洞掃描的準確性，以提高容器安全性。

實現上述目的，本公開的第一方面提出了一種容器鏡像檢測方法，包括：

獲取待檢測的原始容器鏡像；

對所述原始容器鏡像進行打包，得到初步容器鏡像；

對所述初步容器鏡像進行解壓，得到所述目標容器鏡像；

通過Clair工具對所述目標容器鏡像進行特征提取，得到特征數據；

通過所述Clair工具將所述特征數據與預設的CVE漏洞數據庫進行比對，查詢漏洞數據。

在一些實施例中，所述方法還包括：

對所述目標容器鏡像進行標記；

將標記后的所述目標容器鏡像進行推送；

對推送的所述目標容器鏡像進行掃描。

在一些實施例中，所述方法還包括：

若查詢到所述漏洞數據，則生成漏洞報告；其中，所述漏洞報告包括漏洞當前版本信息和修復版本信息。

在一些實施例中，所述方法還包括：

根據所述漏洞報告和預設的當前基礎鏡像生成更新基礎鏡像；所述更新基礎鏡像用于修復所述漏洞數據。

在一些實施例中，所述目標容器鏡像包括分層文件和描述文件，所述分層文件為目標容器鏡像分層數據，所述方法還包括：

調用每一所述描述文件；

根據每一所述描述文件的層序提交所述目標容器鏡像分層數據。

在一些實施例中，所述方法還包括：

獲取所述目標容器鏡像所在倉庫的運行狀態；

若所述目標容器鏡像所在倉庫的運行狀態為正常狀態，則拉取所述目標容器鏡像。

在一些實施例中，所述方法還包括：

清理掃描成功后的打包文件，其中，所述打包文件為tar包。

為實現上述目的，本公開的第二方面提出了一種容器鏡像檢測裝置，包括：

鏡像獲取模塊，用于獲取待檢測的原始容器鏡像；