容器镜像存储原理及其安全风险研究.pdfVIP

容器镜像存储原理

及其安全风险研究

于不可控的状态。文献［1］分析DockerHub仓库中的

1概述

2500个镜像后指出，高达82%被认证的镜像包含至少

近10年来，云计算的发展取得了显著的成就，虚1个高危漏洞，而不含漏洞的镜像仅占17.8%。可见镜

拟化作为其中关键技术发展日益迅速，特别是轻量级像安全已经成为容器面临的最主要风险之一。为方

的虚拟化技术——Docker容器技术。Docker提供一种便读者更好理解镜像的脆弱性，本文详细分析了镜像

可移植、可重用且自动化的方式来打包和运行应用。在仓库和本地存储的结构特点，并针对性地分析了镜

随着容器技术的广泛应用，Docker容器的安全问题日像存在的安全风险。最后以1个含有木马病毒的镜像

益突出，尤其是容器镜像安全问题。为例，通过对比镜像文件的变化，分析了非法篡改镜

镜像仓库是容器镜像的主要传播方式，Docker像的过程，最后简要介绍了镜像漏洞扫描器的工作原

Hub作为Docker官方的镜像仓库，对于镜像上传过程理。

缺乏完善的监督，导致镜像的版本、质量和安全性处

2容器镜像及其特点

——————————

收稿日期：2022-07-15Docker镜像是容器运行的模板，它含有启动

822022/09/DTPT

Docker容器所需要的文件系统及其内容，Docker镜像式启动，镜像在容器中默认的存储位置是/var/lib/regis⁃

文件与Docker容器的配置文件共同构成了Docker容try，通过-v命令将该目录挂载到本地/var/lib/registry，

器的静态文件系统运行环境RootFS，镜像是容器的静该目录包括blobs和repositories2个目录，其中blobs目

态视角，而容器则是镜像的运行状态。容器镜像主要录存储镜像文件，repositories目录存储镜像元数据，镜

具有以下特点。像元数据与镜像文件被设计成独立隔离存储。以

a）分层存储：Docker镜像采用分层存储的方式，ubuntu：16.04镜像为例，当registry中存储该镜像后，目

每个镜像都由一系列的层文件（Layer）组成，这些文件录blobs和repositories存储的具体内容如图2所示。

按照一定顺序排列，不同镜像层可以共享底层镜像层manifest文件是存储在registry中作为Docker镜像

文件，从而达到节省存储空间的目的。的元数据文件，在镜像pull、push、save和load中作为镜

b）写时复制：在未更改镜像文件时，所有的容器像结构和基础信息描述文件，当镜像被pull到宿主机

共享同样的镜像文件，当需要修改容器内容时，只需时，manifest被转化为本地镜像的配置文件。在存储镜

修改最上层的镜像文件。修改后的文件存储在容器像元数据文件的目录repositories中，_layers目录下link

的读写层，写时复制与分层存储一样，节省了存储空文本文件指向blobs目录下与之对应的data文件，而

间。_manifests目录包含镜像revisions和tags信息，其中的

c）内容寻址：内容寻址