本發(fā)明涉及風險檢測技術(shù)領(lǐng)域，尤其涉及了一種Docker的安全使用檢查系統(tǒng)和風險檢測、修復方法，該系統(tǒng)包括CLI解析模塊，安全分析模塊，反饋和處理模塊以及執(zhí)行模塊，所述CLI解析模塊接收用戶在命令行的輸入，將其進行解析；所述安全分析模塊主要包含如下組件：Dockerfile分析組件、Dockerimage分析組件、Docker指令分析組件、云端安全數(shù)據(jù)庫、云沙箱以及聯(lián)動調(diào)度組件。本發(fā)明覆蓋了docker的全過程，包括dockerfile階段、構(gòu)建階段、運行使用階段，關(guān)注引入外部資源的安全問題，做到使用體驗和檢測能力的均衡，提供大數(shù)據(jù)統(tǒng)計分析、云沙箱運行檢測和修復建議的全面檢測以及防護功能。

技術(shù)領(lǐng)域

本發(fā)明涉及大數(shù)據(jù)風險檢測技術(shù)領(lǐng)域，具體涉及一種Docker的安全使用檢查系統(tǒng)及風險檢測、修復方法。

背景技術(shù)

Docker是一種開源的基于LXC的應用容器引擎，因其輕量、彈性伸縮、快速部署、可移植等優(yōu)勢，在大型互聯(lián)網(wǎng)企業(yè)中被廣泛應用，同時也方便了個人用戶對于開發(fā)、服務(wù)等的快速構(gòu)建、部署和使用，Docker在整個開發(fā)周期都可以完美的輔助你實現(xiàn)快速交付。Docker允許開發(fā)者在裝有應用和服務(wù)本地容器做開發(fā)?？梢灾苯蛹傻娇沙掷m(xù)開發(fā)流程中。隨著Docker技術(shù)的發(fā)展與普及，其帶來安全問題不容忽視。容器技術(shù)是一種新型的技術(shù)革命，不僅存在傳統(tǒng)的主機安全問題，還帶來了新型的安全威脅。

《一種對容器鏡像進行安全檢查的方法、裝置以及設(shè)備》實現(xiàn)了一種對容器鏡像安全檢查的方法、裝置及設(shè)備。方案包括：獲取容器鏡像的Dockerfile文件，所述Dockerfile文件包括用于構(gòu)建所述容器鏡像的文件文本；解析所述Dockerfile文件，得到解析結(jié)果；將所述解析結(jié)果與安全檢查數(shù)據(jù)庫進行匹配，得到安全檢查列表，該專利對于Dockerfile的安全分析依賴于各類子數(shù)據(jù)庫的匹配，也就是說他的分析準確性、覆蓋率取決于子數(shù)據(jù)庫的數(shù)據(jù)準確性和數(shù)據(jù)量，而且該裝置不適合針對個人用戶或者在個人終端部署使用，子數(shù)據(jù)庫的較大數(shù)據(jù)量和數(shù)據(jù)不能動態(tài)更新是他存在的問題，對于個人終端的部署便捷性也是他的短板。他的傳統(tǒng)軟件模式?jīng)Q定了他存在不能及時、動態(tài)的更新檢查規(guī)則等問題。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種Docker的安全使用檢查系統(tǒng)及風險檢測、修復方法，以解決上述背景技術(shù)中提出的問題。

為實現(xiàn)上述目的，本發(fā)明提供如下技術(shù)方案：

一種Docker的安全使用檢查系統(tǒng)，其包括CLI解析模塊，安全分析模塊，反饋和處理模塊以及執(zhí)行模塊，所述CLI解析模塊接收用戶在命令行的輸入，將其進行解析，所述安全分析模塊主要包含如下組件：Dockerfile分析組件、Docker image分析組件、Docker指令分析組件、云端安全數(shù)據(jù)庫、云沙箱以及聯(lián)動調(diào)度組件。

優(yōu)選的，所述云沙箱安全分析模塊包含針對文件的云沙箱安全檢測和對應的數(shù)據(jù)統(tǒng)計數(shù)據(jù)庫。

一種Docker的安全使風險檢測、修復方法，包括以下步驟：

S1：Docker的安全使用檢查系統(tǒng)根據(jù)Dockerfile中每一項配置的配置項屬性，來決定決定使用什么方法分析屬性的配置內(nèi)容，首先使用配置安全檢測規(guī)則進行檢測，主要檢查格式是否存在問題，以及是否存在未指定tag等格式問題。

S2：對image等安全檢測，如果是沒在本地庫中匹配的情況，則將image的名稱和tag信息發(fā)送到公共的云端image安全分析模塊進行分析。

S3：每次的分析請求發(fā)送過來后，會先查詢image分析記錄數(shù)據(jù)庫是否有匹配的數(shù)據(jù)，如果有的話則將數(shù)據(jù)庫中數(shù)據(jù)提取出來然后進行格式化后返回，如果沒有則加入后臺分析組件進行分析，返回任務(wù)id給該查詢請求，用戶端會一段時間內(nèi)輪詢查詢分析結(jié)果，如果沒有則標識為Image分析未完成。