本發明公開了一種容器鏡像的檢測方法及客戶端、服務端，主要目的在于解決現有的集中式掃描容器鏡像倉庫檢測方法無法覆蓋到邊緣運行中的鏡像的問題。包括：客戶端從邊緣網絡節點的容器引擎中獲取待掃描容器的鏡像數據；對所述鏡像數據進行解析得到鏡像分層信息，將攜帶所述鏡像分層信息的漏洞掃描請求發送到云平臺控制中心的服務端；服務端接收至少一個邊緣網絡節點客戶端的漏洞掃描請求，按照接收所述漏洞掃描請求的時間先后順序提取所述漏洞掃描請求中攜帶的鏡像分層信息；基于從第三方下載的漏洞數據庫對所述鏡像分層信息進行漏洞掃描，將掃描結果發送到所述客戶端。客戶端接收所述服務端發送的掃描結果，完成對所述待掃描容器的鏡像檢測。

技術領域

本發明涉及一種軟件檢測技術領域，特別是涉及一種容器鏡像的檢測方法及客戶端、服務端。

背景技術

容器的鏡像是指是對應用程序的代碼及其運行環境進行標準化封裝，從而得到的一種特殊的文件系統，它包含一個打包的應用，以及它的依賴關系，還有它在啟動時運行的進程信息。當容器的鏡像出現漏洞等異常情況時，相應的容器也就存在安全隱患。

目前，現有的容器鏡像檢測方法多采用集中式掃描機制，即在服務器上部署容器鏡像倉庫，檢測時服務器掃描容器鏡像倉庫內的鏡像文件進行集中式掃描檢測。但是，采用集中式掃描容器鏡像倉庫檢測方法無法覆蓋到邊緣運行中的鏡像，導致邊緣網絡節點中鏡像文件的漏洞無法被及時發現，存在容器安全隱患。

發明內容

有鑒于此，本發明提供一種容器鏡像的檢測方法及客戶端、服務端，主要目的在于解決現有的集中式掃描容器鏡像倉庫檢測方法無法覆蓋到邊緣運行中的鏡像，導致邊緣網絡節點中鏡像文件的漏洞無法被及時發現的問題。

依據本發明一個方面，提供了一種容器鏡像的檢測方法，應用于邊緣網絡節點的客戶端，包括：

從邊緣網絡節點的容器引擎中獲取待掃描容器的鏡像數據；

對所述鏡像數據進行解析得到鏡像分層信息，將攜帶所述鏡像分層信息的漏洞掃描請求發送到云平臺控制中心的服務端，以使得所述服務端基于所述鏡像分層信息進行漏洞掃描；

接收所述服務端發送的掃描結果，完成對所述待掃描容器的鏡像檢測。

進一步的，所述對所述鏡像數據進行解析得到鏡像分層信息包括：

獲取所述鏡像數據的代碼數據；

通過檢測所述代碼數據中各個鏡像層存儲的唯一識別碼信息，得到所述鏡像數據的鏡像分層信息。

進一步的，所述接收所述服務端發送的掃描結果，完成對所述待掃描容器的鏡像檢測之后，所述方法還包括：

從所述邊緣網絡節點的容器引擎中獲取所述待掃描容器的鏡像分層清單，將所述鏡像分層清單中的第一鏡像層與所述鏡像分層信息中的第二鏡像層進行比對，得到差異鏡像層；

若檢測到所述差異鏡像層為缺失鏡像層，則向所述服務端發送缺失鏡像層查詢請求，以使得所述服務端從本地緩存中加載所述缺失鏡像層所對應的缺失鏡像分層信息；

若檢測到所述差異鏡像層為新增鏡像層，則從所述容器引擎中獲取所述新增鏡像層對應的鏡像數據進行解析得到新增鏡像分層信息，并將攜帶所述新增鏡像分層信息的漏洞掃描請求發送到所述服務端。

依據本發明另一個方面，提供了另一種容器鏡像的檢測方法，應用于云平臺控制中心的服務端，包括：

從第三方下載漏洞數據庫進行本地保存；

接收至少一個邊緣網絡節點的客戶端的漏洞掃描請求，按照接收所述漏洞掃描請求的時間先后順序提取所述漏洞掃描請求中攜帶的鏡像分層信息；

基于所述漏洞數據庫對所述鏡像分層信息進行漏洞掃描，將掃描結果發送到所述客戶端。