一種本地Docker鏡像信息采集系統，包括獲取基礎信息模塊、掛載采集文件夾模塊、建立新鏡像模塊、執行采集模塊以及存儲模塊；所述獲取基礎信息模塊用于確定待采集的本地Docker鏡像；建立新鏡像模塊用于建立能夠將鏡像信息拷貝到采集文件夾的新鏡像；執行采集模塊用于啟動新鏡像對應的容器。本申請還提供一種鏡像信息采集方法，步驟具體包括：獲取Docker鏡像的基礎信息，確定待采集的本地Docker鏡像；為待采集的Docker鏡像提供采集文件夾掛載目錄；在鏡像的原始鏡像層上增加能夠將鏡像文件內容拷貝到采集文件夾的新鏡像層，形成新鏡像；在安全環境下，運行以新鏡像為運行基礎的容器，在運行中執行將鏡像文件內容拷貝到采集文件夾的操作。本申請提高了系統的運行效率。

技術領域

本申請涉及對Docker鏡像信息的漏洞掃描的技術領域，尤其涉及一種本地Docker鏡像信息采集系統及其采集方法。

背景技術

隨著虛擬化技術的高速發展，容器技術逐漸成為各類行業和業務的主流部署方式，容器是基于鏡像來創建生成的，鏡像是構建容器的基礎。具體的說，鏡像可以是一種文件系統，而容器是鏡像運行的實例。其中，作為容器基礎的Docker鏡像是一種分層結構，鏡像的每一層都稱為一個鏡像層，其中，下層鏡像層是上層鏡像層的變更基礎，鏡像的變更都發生在上一層，也就是說，上層鏡像層是在下層鏡像層的基礎上進行變更。

隨著容器技術應用的推廣和普及，容器安全問題也日益引起關注，當需要使用容器技術時，需要獲得容器的鏡像，Docker鏡像安全從而成為容器安全的一個重要方面。Docker鏡像包含了容器運行時的基本系統環境，包括文件系統和應用軟件，若其中存在安全漏洞，當容器基于包含漏洞的Docker鏡像運行時，攻擊者即可利用Docker鏡像中攜帶的漏洞進行攻擊，因此，檢查Docker鏡像的安全性是一個重要的環節。而鏡像文件中的打包和疊加層存儲的形式使得對其進行信息采集和深度分析的難度增加。開發人員的不規范使用、開源軟件漏洞、惡意軟件注入等在鏡像中的打包注入讓基于鏡像的容器環境和業務環境存在很多安全隱患。

面對這樣的情況，通常使用的漏洞掃描的方法是通過鏡像信息采集和分析對其進行解析以供進一步分析，一般是使用開源軟件Clair通過分層的方式解析Docker鏡像，將Docker鏡像按逐層解壓分析的方式來進行，但這樣的方式無法以鏡像為單位進行分析，在鏡像層與層之間具有文件覆蓋情況時，還需要進行額外的分析，并且這種解析方法需要在主機內存中解壓文件，這就對主機資源帶來了額外的性能消耗。

另外，專利號為CN109933342A的申請文件公開了一種從本地docker鏡像中提取文件內容的方法及裝置，該發明專利首先對本地鏡像進行存儲引擎解析，并根據存儲引擎的不同進行不同的適配，以逐層疊加的還原鏡像文件，這種方式采用了以鏡像為單位進行解析的方式，然而其對不同存儲引擎的適配和調用帶來了額外的計算消耗，同時適配的工作還帶來了額外的系統故障點，對本地Docker鏡像系統可能帶來一定的穩定性影響。

綜上，現有鏡像的漏洞掃描大多基于層信息進行逐層分析，這樣就會帶來額外的計算消耗和資源消耗，而少數以鏡像為單位的掃描需要適配不同的疊加存儲引擎，通過外部構建疊加存儲的方式進行信息鏡像信息還原，這樣的方式帶來額外的適配和更多的故障點，對原有系統和業務可能帶來穩定性影響，具有一定缺陷。

發明內容

本申請提供一種本地Docker鏡像信息采集系統，包括獲取基礎信息模塊、掛載采集文件夾模塊、建立新鏡像模塊、執行采集模塊以及存儲模塊；

所述獲取基礎信息模塊用于獲取本地待采集的Docker鏡像的基礎信息；所述鏡像基礎信息至少包括ID、標簽和倉庫名；

所述掛采集文件夾模塊能夠為每個待采集的鏡像配置相應的采集文件夾和掛載路徑；

建立新鏡像模塊用于在鏡像上增加新鏡像層，建立能夠將鏡像信息拷貝到采集文件夾的新鏡像；

執行采集模塊用于啟動新鏡像對應的容器，容器運行，將鏡像信息拷貝到采集文件夾，完成采集任務；