[发明专利]一种Kubernetes云原生应用的动态安全检测方法

权利要求书

1.一种Kubernetes云原生应用的动态安全检测方法，其特征在于，包括以下步骤：

S1、初始化系统配置，根据配置建立helm client和Kubernetes client连接目标helm服务器和Kubernetes；若是无法连接则退出；

S2、加载插件库，连接数据库；若是加载连接出错则显示错误信息后退出；

S3、监控CVE漏洞信息，将漏洞信息更新到本地数据库；通过Kubernetes client连接Kubernetes，记录当前运行的Kubernetes所有资源；

S4、通过helm client连接helm服务器，通过Chart应用识别插件，扫描正在运行的Chart应用，获取正在运行的Chart应用列表；

S5、根据上一步骤的Chart应用列表，扫描并记录单个Chart应用信息；且，每扫描出一个Chart应用信息，便执行步骤S6；重复本步骤前述程序扫描下一个Chart应用信息，若所有Chart应用信息已经被扫描出，则执行步骤S10；

S6、根据上一步骤记录的单个Chart应用信息，使用Kubernetes client连接至Kubernetes，通过资源扫描插件，遍历该Chart应用所使用的所有资源的数据，同时将每一项资源所需要的扫描项记录下来，执行步骤S7；

S7、遍历上一步骤单个Chart应用的资源列表，且每遍历一项资源就根据该资源所需要的扫描项分发安全扫描任务，然后执行步骤S8；重复本步骤前述程序遍历下一项资源，若该资源列表已经被遍历完，则执行步骤S9；

S8、根据传入的资源信息加载相应的扫描项，分别进行安全扫描任务，生成相应的报告，发送至步骤S9；

S9、加载报告插件，收集上一步骤传入的任务报告，生成单个Chart应用的安全报告，且每隔t0时间更新；然后，返回步骤S5进行下一个Chart应用的安全扫描及报告生成程序；

S10、加载报告插件服务，显示所有Chart应用的安全报告。

2.根据权利要求1所述的一种Kubernetes云原生应用的动态安全检测方法,其特征在于：所述步骤S5中，Chart应用信息包括Kubernetes命名空间、状态和资源；且Kubernetes资源包括ConfigMap,PersistentVolumeClaim,Service,Deployment,Ingress,及Pod。

3.根据权利要求1所述的一种Kubernetes云原生应用的动态安全检测方法,其特征在于：所述步骤S6中，扫描项包括镜像分层扫描、网络访问监控、资源占用监控、运行时权限监控及自定义扫描。

4.根据权利要求3所述的一种Kubernetes云原生应用的动态安全检测方法,其特征在于：所述扫描项扫描内容的值如下：

网络访问监控：ingresses(ing)、networkpolicies(netpol)、services(svc)；

资源占用监控：limitranges(limits)、resourcequotas(quota)、persistentvolumeclaims(pvc)、persistentvolumes(pv)、storageclasses(sc)；

运行时权限监控：clusterrolebindings、clusterroles、configmaps(cm)、rolebindings、roles；

镜像分层扫描+网络访问监控+资源占用监控+运行时权限监控：deployments(deploy)、cronjobs、daemonsets(ds)、jobs、pods(po)、controllerrevisions、replicasets(rs)、replicationcontrollers(rc)、statefulsets(sts)。