[发明专利]一种Docker的安全使用检查系统及风险检测、修复方法

说明书

本发明涉及风险检测技术领域，尤其涉及了一种Docker的安全使用检查系统和风险检测、修复方法，该系统包括CLI解析模块，安全分析模块，反馈和处理模块以及执行模块，所述CLI解析模块接收用户在命令行的输入，将其进行解析；所述安全分析模块主要包含如下组件：Dockerfile分析组件、Dockerimage分析组件、Docker指令分析组件、云端安全数据库、云沙箱以及联动调度组件。本发明覆盖了docker的全过程，包括dockerfile阶段、构建阶段、运行使用阶段，关注引入外部资源的安全问题，做到使用体验和检测能力的均衡，提供大数据统计分析、云沙箱运行检测和修复建议的全面检测以及防护功能。

技术领域

本发明涉及大数据风险检测技术领域，具体涉及一种Docker的安全使用检查系统及风险检测、修复方法。

背景技术

Docker是一种开源的基于LXC的应用容器引擎，因其轻量、弹性伸缩、快速部署、可移植等优势，在大型互联网企业中被广泛应用，同时也方便了个人用户对于开发、服务等的快速构建、部署和使用，Docker在整个开发周期都可以完美的辅助你实现快速交付。Docker允许开发者在装有应用和服务本地容器做开发。可以直接集成到可持续开发流程中。随着Docker技术的发展与普及，其带来安全问题不容忽视。容器技术是一种新型的技术革命，不仅存在传统的主机安全问题，还带来了新型的安全威胁。

《一种对容器镜像进行安全检查的方法、装置以及设备》实现了一种对容器镜像安全检查的方法、装置及设备。方案包括：获取容器镜像的Dockerfile文件，所述Dockerfile文件包括用于构建所述容器镜像的文件文本；解析所述Dockerfile文件，得到解析结果；将所述解析结果与安全检查数据库进行匹配，得到安全检查列表，该专利对于Dockerfile的安全分析依赖于各类子数据库的匹配，也就是说他的分析准确性、覆盖率取决于子数据库的数据准确性和数据量，而且该装置不适合针对个人用户或者在个人终端部署使用，子数据库的较大数据量和数据不能动态更新是他存在的问题，对于个人终端的部署便捷性也是他的短板。他的传统软件模式决定了他存在不能及时、动态的更新检查规则等问题。

发明内容

本发明的目的在于提供一种Docker的安全使用检查系统及风险检测、修复方法，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：

一种Docker的安全使用检查系统，其包括CLI解析模块，安全分析模块，反馈和处理模块以及执行模块，所述CLI解析模块接收用户在命令行的输入，将其进行解析，所述安全分析模块主要包含如下组件：Dockerfile分析组件、Docker image分析组件、Docker指令分析组件、云端安全数据库、云沙箱以及联动调度组件。

优选的，所述云沙箱安全分析模块包含针对文件的云沙箱安全检测和对应的数据统计数据库。

一种Docker的安全使风险检测、修复方法，包括以下步骤：

S1：Docker的安全使用检查系统根据Dockerfile中每一项配置的配置项属性，来决定决定使用什么方法分析属性的配置内容，首先使用配置安全检测规则进行检测，主要检查格式是否存在问题，以及是否存在未指定tag等格式问题。

S2：对image等安全检测，如果是没在本地库中匹配的情况，则将image的名称和tag信息发送到公共的云端image安全分析模块进行分析。

S3：每次的分析请求发送过来后，会先查询image分析记录数据库是否有匹配的数据，如果有的话则将数据库中数据提取出来然后进行格式化后返回，如果没有则加入后台分析组件进行分析，返回任务id给该查询请求，用户端会一段时间内轮询查询分析结果，如果没有则标识为Image分析未完成。