本發明涉及計算機技術領域，具體涉及一種面向容器管理平臺的JAR漏洞檢測方法、系統、儲存介質以及計算機，所述方法包括編譯打包JAVA服務、構建鏡像、監聽容器創建事件、監聽容器變更事件、監聽容器停止事件以及定位JAR，所述定位JAR包括遍歷運行時容器集合，針對每一容器ID，查看其鏡像版本，由其鏡像查看JAR依賴；本申請維護鏡像版本與JAR依賴、運行時容器ID情況，能夠實時查詢當前運行所有容器JAR依賴情況，方便迅速定位每個JAR所關聯的容器集合，以非侵入的模式，提供迅速、準確定位含有特定JAR的容器集合，方便在安全漏洞等場景發生時，盡快干預。

技術領域

本發明涉及計算機技術領域，具體涉及一種面向容器管理平臺的JAR漏洞檢測方法、系統、儲存介質以及計算機。

背景技術

容器：容器是一種虛擬化技術，基于服務器資源共享與隔離機制實現，方便應用部署，利于彈性伸縮，提升運維效率。常見容器技術如Docker，以不同編程語言開發的應用都可容器化部署。

鏡像：如Docker?Image，鏡像是容器運行的模板。鏡像是構建產物，容器是運行時體現，不同的容器可加載同一個鏡像。

容器管理平臺：支持鏡像與容器的生命周期管理。一般應用方式包括基于代碼倉庫構建鏡像、基于鏡像創建并啟動容器、管理容器運行時狀態。

JAR：一種軟件包文件格式，用于聚合大量Java類文件。JAVA程序開發一般依賴若干開源或自主開發的JAR。

MAVEN：JAVA工程管理及構建工具，用于管理JAVA工程依賴的JAR文件及版本，提供編譯、打包等構建工具。

應用部署方式：常見服務器部署與容器部署，服務器部署指應用直接部署于服務器宿主的操作系統之上，可能獨占資源，也可能與其他服務共享資源。容器部署指基于服務構建鏡像，以容器方式加載運行。容器部署方式有利于資源共享與隔離，方便服務能力彈性擴展與運維管理。容器部署方式常見于公有云、私有云、混合云等不同PaaS平臺，是云服務主要服務模式之一。

JAVA程序開發模式：JAVA服務開發廣泛依賴開源JAR，常見包括Spring、Hibernate、iBatis等應用與數據庫框架，log4j、logback等日志框架，redis、ElasticSearch等中間件客戶端，網絡、文件、字符串等處理工具等。一般而言，一個JAVA服務依賴的jar往往幾十個。

JAR依賴檢測：JAR依賴是樹狀結構，一個JAVA服務依賴多個一級JAR，每個一級JAR又依賴多個二級JAR，不同一級JAR可依賴相同的二級JAR，一級JAR包也可作為其他一級JAR包的依賴，MAVEN為避免對同一JAR引入不同版本提供解決方案。

依賴檢測有多重應用場景，如靜態檢查，用于檢查JAR沖突版本引入問題。本申請討論面向容器管理平臺的JAR依賴檢測方法，強調運行時檢查，主要用于漏洞檢測等場景。2021年12月log4j漏洞爆發影響了整個JAVA生態系統，據統計，MavenCentral(https://view.inews.qq.com/a/20211221A03X7N00)超過8％的軟件至少有一個版本受漏洞影響。容器化作為當前最流行的部署方式，提供一種方法檢測當前容器平臺上服務是否有漏洞尤為必要。

現有技術中通過以下方案檢測當前容器上服務是否有JAR漏洞：

方案一：多數公司有內部Maven倉庫，可維護本公司已有的JAVA服務版本。可根據每個JAVA服務歷史版本排查依賴情況。

方案二：利用網絡安全或漏洞檢測工具，設置漏洞攻擊方式，針對容器平臺上所有服務檢查。

但是現有技術中存在缺點如下：

方案一：Maven倉庫未記錄當前所有服務的運行版本，歷史版本漏洞并不影響實際服務運行。如管理規范或實際執行不標準，線上運行服務可能并未在Maven倉庫中發布。