(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210891720.6 (22)申请日 2022.07.27 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 肖芫莹　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 专利代理师 王辉 (51)Int.Cl. G06F 21/62(2013.01) (54)发明名称 镜像构建文件的安全检测方法及装置、 介质 和电子设备 (57)摘要 本公开涉及计算机技术领域， 涉及镜像构建 文件的安全检测方法及装置、 计算机可读存储介 质和电子设备， 包括： 获取镜像构建文件的对应 于不同指令类别的指令集； 根据所述指令集获取 目标检测内容， 并基于所述指令集所属指令类别 对应的目标检测策略， 对所述目标检测内容进行 风险检测处理， 得到风险检测结果； 根据各所述 指令集的风险检测结果生成所述镜像构建文件 的目标检测结果。 本公开在镜像的构建阶段对镜 像构建文件进行安全检测， 以在开发周期的前期 检测风险， 提高安全问题的解决效率， 避免安全 风险蔓延。 权利要求书2页 说明书13页 附图4页 CN 115168905 A 2022.10.11 CN 115168905 A 1.一种镜像构建文件的安全检测方法， 其特 征在于， 包括： 获取镜像构建文件的对应于不同指令类别的指令集； 根据所述指令集获取目标检测内容， 并基于所述指令集所属指令类别对应的目标检测 策略， 对所述目标检测内容进行风险检测处 理， 得到风险检测结果； 根据各所述指令集的风险检测结果 生成所述镜像构建文件的目标检测结果。 2.根据权利要求1所述的方法， 其特征在于， 所述获取镜像构建文件的对应于不同指令 类别的指令集， 包括： 获取完整的镜像构建文件； 对所述完整的镜像构建文件进行指令解析， 以得到所述对应于不同指令类别的指令 集。 3.根据权利要求2所述的方法， 其特征在于， 所述对所述完整的镜像构建文件进行指令 解析， 以得到所述对应于不同指令类别的指令集， 包括： 遍历所述完整的镜像构建文件的每行指令； 对于所述指令， 确定所述指令的目标字符结构所包 含的关键 字符； 根据所述关键字符的类型， 确定所述指令所属的第一指令类别， 并将所述指令划分至 所述第一指令类别对应的指令集。 4.根据权利要求1所述的方法， 其特征在于， 所述获取镜像构建文件的对应于不同指令 类别的指令集， 包括： 在所述镜像构建文件的编写过程中， 实时获取编写指令； 确定所述编写指令的目标字符结构所包 含的关键 字符； 根据所述关键字符的类型， 确定所述编写指令所属的第二指令类别， 并将所述编写指 令划分至所述第二指令类别对应的指令集。 5.根据权利要求1所述的方法， 其特征在于， 所述根据所述指令集获取目标检测内容， 并基于所述指 令集所属指 令类别对应的目标检测策略， 对所述目标检测内容进行风险检测 处理， 得到风险检测结果， 包括： 基于所述指令集中的待检测指令， 解析获取 所述目标检测内容； 利用所述目标检测策略指示的敏感信息， 对所述目标检测内容的字符进行字符匹配； 若所述目标检测内容中存在目标匹配字符与所述敏感信 息匹配， 确定所述目标匹配字 符为风险检测结果。 6.根据权利要求5所述的方法， 其特征在于， 所述利用所述目标检测策略指示的敏感信 息， 对所述目标检测内容的字符进行字符匹配， 包括以下至少一种： 利用基础镜像指令类别对应的第 一目标检测策略指示的第 一敏感信 息， 对于对应的目 标检测内容的字符进行字符匹配， 以确定第一匹配结果； 基于文件添加指令类别对应的第 二目标检测策略指示的第 二敏感信 息， 对于对应的目 标检测内容的字符进行字符匹配， 以确定第二匹配结果； 根据运行配置指令类别对应的第 三目标检测策略指示的第 三敏感信 息， 对于对应的目 标检测内容的字符进行字符匹配， 以确定第三匹配结果； 按照标签指令类别对应的第四目标检测策略指示的第四敏感信 息， 对于对应的目标检 测内容的字符进行字符匹配， 以确定第四匹配结果。权　利　要　求　书 1/2 页 2 CN 115168905 A 27.根据权利要求6所述的方法， 其特征在于， 所述第 一敏感信 息为所述镜像构建文件所 依赖的基础镜像的版本信息所对应的预设漏洞库信息； 所述利用基础镜像指令类别对应的第 一目标检测策略指示的第 一敏感信 息， 对于对应 的目标检测内容的字符进行字符匹配， 以确定第一 风险检测结果， 包括： 利用所述预设漏洞库信息对所述镜像构建文件所依赖的基础镜像的字符进行字符匹 配， 以确定是否存在与目标漏洞对应的标识符。 8.根据权利要求6所述的方法， 其特征在于， 所述第二敏感信息为敏感文件名称， 所述 第三敏感信息至少包括敏感用户参数信息和敏感端口信息， 所述第四敏感信息为镜像标签 信息。 9.根据权利要求1至8中任一项所述的方法， 其特征在于， 在所述根据各所述指令集的 风险检测结果 生成所述镜像构建文件的目标检测结果之后， 所述方法还 包括： 将所述目标检测结果对应反馈 至所述镜像构建文件的命令行以进行安全预警。 10.一种镜像构建文件的安全检测装置， 其特 征在于， 所述装置包括： 指令识别模块， 用于获取镜像构建文件的对应于不同指令类别的指令集； 检测模块， 用于根据所述指令集获取目标检测内容， 并基于所述指令集所属指令类别 对应的目标检测策略， 对所述目标检测内容进行风险检测处 理， 得到风险检测结果； 结果生成模块， 用于根据各所述指令集的风险检测结果生成所述镜像构建文件的目标 检测结果。权　利　要　求　书 2/2 页 3 CN 115168905 A 3