本發明提供了一種基于依賴關系的容器鏡像庫安全評估系統及方法，包括管理節點和檢測節點，管理節點和檢測節點之間交換數據協同工作；管理節點完成容器倉庫內容器鏡像依賴關系樹的構建以及容器鏡像依賴關系樹的更新，下發容器鏡像檢測任務；檢測節點接收下發的容器鏡像檢測任務，容器鏡像檢測任務對容器鏡像進行完整的安全檢測；若容器鏡像存在安全隱患，下發子鏡像檢測任務給檢測節點；檢測節點下發的子鏡像檢測任務，在容器鏡像依賴關系樹中尋找容器鏡像的所有子鏡像，檢測出現安全隱患的文件在子鏡像中是否被修復。本發明有利于評估漏洞影響范圍、有利于檢測容器鏡像內存在的安全隱患，具有大規模分析容器鏡像庫內鏡像的安全性的效果。

技術領域

本發明涉及容器鏡像庫安全評估的技術領域，具體地，涉及一種基于依賴關系的容器鏡像庫安全評估系統及方法。

背景技術

基于容器技術的虛擬環境部署、運行軟件的模式帶來了極大的便利性，一次編譯多次部署的方式，帶來了日益增長的用戶需求。其中Docker、Red Hat、Google等大型廠商紛紛建立了包含了海量容器鏡像的官方存儲倉庫。與此同時，其容器生態環境中的安全問題也不斷發生，特別是存儲倉庫中混入了不安全的鏡像之后，由于鏡像之間存在各種復雜的依賴關系，用戶可以自由選擇生成一個可能依賴了某個不安全鏡像的新實例，因此，如何快速評估其在存儲倉庫中的影響范圍是一個迫切需要解決的難題，特別是在高危安全漏洞爆發的初期，能夠快速準確的評估影響范圍，將為防范安全事件爭取到響應時間。

公開號為CN108958890A的中國發明專利公開了一種容器鏡像檢測方法、裝置及電子設備，該方法包括：通過對待測容器鏡像進行靜態掃描，從待測容器鏡像的軟件特征集合中獲取待匹配軟件特征；將該待匹配軟件特征與預設的軟件漏洞庫中存儲的軟件漏洞特征進行比較；如果軟件漏洞庫中存在與上述待匹配軟件特征相匹配的軟件漏洞特征，確定該相匹配的軟件漏洞特征對應的測試用例集；針對上述待匹配軟件特征對應的軟件，通過執行上述測試用例集中的測試用例，檢測上述待匹配軟件特征對應的軟件是否存在軟件漏洞；當存在軟件漏洞時，確定待測容器鏡像存在異常。此專利是通過檢測待匹配軟件特征對應的軟件是否存在軟件漏洞，從而實現待測容器鏡像的檢測。

當前的評估方法通常需要在針對倉庫中的每個鏡像運行檢測工具。

針對上述中的現有技術，發明人認為此方法的難題是需要消耗大量的時間去下載鏡像到本地評估，因此，在安全漏洞爆發的時刻，很難在短時間內完成對大體量的容器鏡像庫的安全評估方法。

發明內容

針對現有技術中的缺陷，本發明的目的是提供一種基于依賴關系的容器鏡像庫安全評估系統及方法。

根據本發明提供的一種基于依賴關系的容器鏡像庫安全評估系統，包括管理節點和檢測節點，管理節點和檢測節點之間通過交換數據從而協同工作；

所述管理節點：完成容器倉庫內容器鏡像依賴關系樹的構建以及容器鏡像依賴關系樹的更新，下發容器鏡像檢測任務；

所述檢測節點：接收下發的容器鏡像檢測任務，容器鏡像檢測任務對容器鏡像進行完整的安全檢測，得出并發送鏡像檢測結果；若容器鏡像存在安全隱患，下發子鏡像檢測任務給檢測節點；檢測節點下發的子鏡像檢測任務，在容器鏡像依賴關系樹中尋找容器鏡像的所有子鏡像，檢測出現安全隱患的文件在子鏡像中是否被修復；得出并發送鏡像檢測結果。

優選的，所述管理節點包括關系模塊、任務管理模塊和數據處理模塊，

所述關系模塊：依據依賴關系生成算法將容器鏡像庫內的容器鏡像關系合并成容器鏡像依賴關系樹，并在容器鏡像發生變化時實時更新容器鏡像依賴關系樹；

所述任務管理模塊：定時檢查容器鏡像庫安全性，對容器鏡像依賴關系樹逐層分發容器鏡像檢測任務至檢測節點；

所述數據處理模塊：接收檢測節點所回傳的鏡像檢測結果，并將鏡像檢測結果保存。