本發(fā)明涉及云原生，特別涉及一種鏡像掃描方法、裝置、設(shè)備及存儲介質(zhì)。

背景技術(shù)：

1、容器化技術(shù)是云原生架構(gòu)的基礎(chǔ)之一。在云原生環(huán)境中，集群中的鏡像倉庫通常包含數(shù)百、數(shù)千甚至上萬的容器鏡像。為預(yù)防鏡像文件系統(tǒng)中的潛在安全漏洞，需要對容器鏡像進(jìn)行定期安全掃描。由于漏洞數(shù)據(jù)庫的更新頻率較高，通常不到24小時(shí)就會更新一次，因此鏡像倉庫中的鏡像需要頻繁進(jìn)行掃描。鏡像中往往存在大量相同的基礎(chǔ)層，為了提高鏡像掃描的效率，通常的做法是將鏡像層掃描的結(jié)果存入cache（數(shù)據(jù)庫），在進(jìn)行鏡像掃描時(shí)，先去cache（數(shù)據(jù)庫）中檢查當(dāng)前掃描的層是否已經(jīng)掃描過，如果掃描過，則從cache（數(shù)據(jù)庫）中取出掃描結(jié)果；如果cache（數(shù)據(jù)庫）中沒有，則正常進(jìn)行掃描操作，并把結(jié)果添加到cache（數(shù)據(jù)庫）中，避免同一個(gè)文件層被掃描多次。這種解決方案在面對串行掃描時(shí)能夠有效的提高掃描效率，但是在云原生場景下并不適用。云原生環(huán)境利用容器化和分布式架構(gòu)，使應(yīng)用可以動(dòng)態(tài)擴(kuò)展和彈性伸縮，以應(yīng)對瞬時(shí)高并發(fā)請求。并且在云原生場景下，鏡像倉庫中的鏡像數(shù)量較大，如果使用串行掃描，會導(dǎo)致掃描時(shí)間過長。使用并行掃描時(shí)，可能會導(dǎo)致基礎(chǔ)鏡像層被多次掃描。

2、因此，如何提供一種解決上述技術(shù)問題的方案是本領(lǐng)域技術(shù)人員目前需要解決的問題。

技術(shù)實(shí)現(xiàn)思路

1、有鑒于此，本發(fā)明的目的在于提供一種鏡像掃描方法、裝置、設(shè)備及存儲介質(zhì)，能夠充分利用云原生場景下分布式任務(wù)特點(diǎn)，保證了在并行操作下每個(gè)鏡像層只會被掃描一次，實(shí)現(xiàn)高并發(fā)高效率的鏡像掃描。其具體方案如下：

2、第一方面，本技術(shù)公開了一種鏡像掃描方法，包括：

3、創(chuàng)建鏡像掃描任務(wù)，并基于所述鏡像掃描任務(wù)確定容器鏡像文件系統(tǒng)中的鏡像層所包含的文件層；

4、構(gòu)建兩級緩存系統(tǒng)，并利用所述兩級緩存系統(tǒng)對所述文件層進(jìn)行管理；所述兩級緩存系統(tǒng)包括基于預(yù)設(shè)鍵值存儲系統(tǒng)構(gòu)建的一級緩存，和基于數(shù)據(jù)庫系統(tǒng)構(gòu)建的二級緩存；

5、獲取所述兩級緩存系統(tǒng)中與所述文件層對應(yīng)的存儲信息，并根據(jù)所述存儲信息對所述鏡像層進(jìn)行風(fēng)險(xiǎn)匹配操作以輸出鏡像掃描結(jié)果。

6、可選的，當(dāng)所述兩級緩存系統(tǒng)為所述一級緩存時(shí)，所述利用所述兩級緩存系統(tǒng)對所述文件層進(jìn)行管理，包括：

7、獲取用于標(biāo)識所述文件層的第一標(biāo)識符，并根據(jù)所述第一標(biāo)識符確定與所述文件層對應(yīng)的掃描狀態(tài)；

8、基于所述第一標(biāo)識符與所述掃描狀態(tài)生成第一鍵值對，并將所述第一鍵值對存儲至所述一級緩存；其中，將所述第一標(biāo)識符作為所述第一鍵值對中的鍵，將所述掃描狀態(tài)作為所述第一鍵值對中的值。

9、可選的，當(dāng)所述兩級緩存系統(tǒng)為所述二級緩存時(shí)，所述利用所述兩級緩存系統(tǒng)對所述文件層進(jìn)行管理，包括：

10、獲取所述第一標(biāo)識符，并根據(jù)所述第一標(biāo)識符確定與所述文件層對應(yīng)的第一掃描結(jié)果；

11、基于所述第一標(biāo)識符與所述第一掃描結(jié)果生成第二鍵值對，并將所述第二鍵值對存儲至所述二級緩存；其中，將所述第一標(biāo)識符作為所述第二鍵值對中的鍵，將所述第一掃描結(jié)果作為所述第二鍵值對中的值。

12、可選的，所述獲取所述兩級緩存系統(tǒng)中與所述文件層對應(yīng)的存儲信息，包括：

13、檢查所述一級緩存中是否存在與當(dāng)前文件層對應(yīng)的數(shù)據(jù)信息；

14、當(dāng)所述一級緩存中存在與所述當(dāng)前文件層對應(yīng)的數(shù)據(jù)信息時(shí)，判定所述當(dāng)前文件層對應(yīng)的所述掃描狀態(tài)為掃描已完成；

15、當(dāng)所述一級緩存中不存在與所述當(dāng)前文件層對應(yīng)的數(shù)據(jù)信息時(shí)，利用掃描負(fù)載對所述當(dāng)前文件層進(jìn)行掃描，并獲取所述當(dāng)前文件層的第二標(biāo)識符，然后將所述第二標(biāo)識符添加至所述一級緩存，并判定所述當(dāng)前文件層對應(yīng)的所述掃描狀態(tài)為正在掃描中。

16、可選的，所述判定所述當(dāng)前文件層對應(yīng)的所述掃描狀態(tài)為掃描已完成之后，還包括：

17、將對所述當(dāng)前文件層掃描得到的第二掃描結(jié)果存入所述二級緩存；

18、相應(yīng)的，所述判定所述當(dāng)前文件層對應(yīng)的所述掃描狀態(tài)為正在掃描中之后，還包括：

19、當(dāng)所述掃描負(fù)載對所述當(dāng)前文件層掃描完畢后，將所述掃描狀態(tài)由所述正在掃描中修改為所述掃描已完成，并將所述第二掃描結(jié)果存入所述二級緩存。

20、可選的，所述根據(jù)所述存儲信息對所述鏡像層進(jìn)行風(fēng)險(xiǎn)匹配操作以輸出鏡像掃描結(jié)果，包括：

21、當(dāng)所有的所述文件層掃描完畢后，確定當(dāng)前鏡像層關(guān)聯(lián)的第三標(biāo)識符，并根據(jù)所述第三標(biāo)識符從所述二級緩存中獲取相應(yīng)的第三掃描結(jié)果；

22、將所述第三掃描結(jié)果與預(yù)設(shè)風(fēng)險(xiǎn)數(shù)據(jù)庫進(jìn)行匹配，并根據(jù)匹配結(jié)果確定所述當(dāng)前鏡像層對應(yīng)的鏡像掃描結(jié)果。

23、可選的，基于預(yù)設(shè)鍵值存儲系統(tǒng)構(gòu)建一級緩存，包括：

24、基于redis構(gòu)建一級緩存；

25、或，基于內(nèi)存數(shù)據(jù)庫構(gòu)建所述一級緩存；

26、或，基于預(yù)設(shè)編程語言自帶的字典構(gòu)建所述一級緩存；

27、或，基于地圖數(shù)據(jù)結(jié)構(gòu)構(gòu)建所述一級緩存。

28、第二方面，本技術(shù)公開了一種鏡像掃描裝置，包括：

29、掃描任務(wù)創(chuàng)建模塊，用于創(chuàng)建鏡像掃描任務(wù)；

30、文件層確定模塊，用于基于所述鏡像掃描任務(wù)確定容器鏡像文件系統(tǒng)中的鏡像層所包含的文件層；

31、緩存系統(tǒng)構(gòu)建模塊，用于構(gòu)建兩級緩存系統(tǒng)，并利用所述兩級緩存系統(tǒng)對所述文件層進(jìn)行管理；所述兩級緩存系統(tǒng)包括基于預(yù)設(shè)鍵值存儲系統(tǒng)構(gòu)建的一級緩存，和基于數(shù)據(jù)庫系統(tǒng)構(gòu)建的二級緩存；

32、掃描結(jié)果輸出模塊，用于獲取所述兩級緩存系統(tǒng)中與所述文件層對應(yīng)的存儲信息，并根據(jù)所述存儲信息對所述鏡像層進(jìn)行風(fēng)險(xiǎn)匹配操作以輸出鏡像掃描結(jié)果。

33、第三方面，本技術(shù)公開了一種電子設(shè)備，所述電子設(shè)備包括處理器和存儲器；其中，所述存儲器用于存儲計(jì)算機(jī)程序，所述計(jì)算機(jī)程序由所述處理器加載并執(zhí)行以實(shí)現(xiàn)如前所述的鏡像掃描方法。

34、第四方面，本技術(shù)公開了一種計(jì)算機(jī)可讀存儲介質(zhì)，用于存儲計(jì)算機(jī)程序；其中所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如前所述的鏡像掃描方法。

35、本技術(shù)提供了一種鏡像掃描方法，包括：創(chuàng)建鏡像掃描任務(wù)，并基于所述鏡像掃描任務(wù)確定容器鏡像文件系統(tǒng)中的鏡像層所包含的文件層；構(gòu)建兩級緩存系統(tǒng)，并利用所述兩級緩存系統(tǒng)對所述文件層進(jìn)行管理；所述兩級緩存系統(tǒng)包括基于預(yù)設(shè)鍵值存儲系統(tǒng)構(gòu)建的一級緩存，和基于數(shù)據(jù)庫系統(tǒng)構(gòu)建的二級緩存；獲取所述兩級緩存系統(tǒng)中與所述文件層對應(yīng)的存儲信息，并根據(jù)所述存儲信息對所述鏡像層進(jìn)行風(fēng)險(xiǎn)匹配操作以輸出鏡像掃描結(jié)果。

36、本技術(shù)的有益技術(shù)效果為：鏡像掃描任務(wù)中的掃描對象不再以鏡像為目標(biāo)，而是以鏡像中的文件層為目標(biāo)。將鏡像掃描任務(wù)拆分為執(zhí)行針對文件層的單層掃描和執(zhí)行風(fēng)險(xiǎn)匹配兩個(gè)子任務(wù)，充分利用云原生場景下分布式任務(wù)特點(diǎn)，同時(shí)調(diào)用多個(gè)工作負(fù)載執(zhí)行掃描和風(fēng)險(xiǎn)匹配操作，實(shí)現(xiàn)高并發(fā)高效率的鏡像掃描。在針對文件層進(jìn)行鏡像掃描時(shí)，構(gòu)建了兩級緩存系統(tǒng)，不僅保留了常規(guī)掃描方法中的數(shù)據(jù)庫系統(tǒng)作為二級緩存，另外添加了一個(gè)基于預(yù)設(shè)鍵值存儲系統(tǒng)構(gòu)建的一級緩存。根據(jù)兩級緩存系統(tǒng)中與文件層對應(yīng)的存儲信息進(jìn)一步執(zhí)行對鏡像層的風(fēng)險(xiǎn)匹配操作。如此一來，能夠在云原生場景中保證了并行操作下每個(gè)鏡像層只會被掃描一次，優(yōu)化了掃描效率。

37、此外，本技術(shù)提供的一種鏡像掃描裝置、設(shè)備及存儲介質(zhì)，與上述鏡像掃描方法對應(yīng)，效果同上。