伟大航路的开始

在近几年，云原生可谓是站到了一个"风口浪尖"的位置，仿佛一夜之间，改革春风吹满地，各家企业都争相赶着上云，这个现象在我眼里，称之为浪潮也不为过。然而，上云除了带来技术红利的同时，也带来了相当多的安全问题，比如对于  ak/sk  (accesskey/accesssecret) 的泄露这样一个简简单单的问题，就让很多甲方头痛，头痛的点不在于检测本身，而在于检测面的覆盖。

ak/sk  ，它既可能存在在代码仓库，也可能存在于镜像、容器、集群等各种对象，而每种对象又有不同的实现，比如对于镜像来说，我们可以用  docker  去管理，也可以用  containerd  去管理。这就造成了一个问题，或许 70% 的检测逻辑都能复用一些传统的安全手段，但是面的广度，导致了我们并没有办法，能够有效覆盖链路上所有可能存在的风险。

于是乎，我们诞生了一个想法，我们能不能写这样一套SDK，它让开发者操作所有的云原生对象就像操作主机一样简单直接，同时它可以屏蔽同对象不同类别的差异化实现(比如对于集群来说，我们不需要考虑  kubernetes 还是  openshift  )，基于这套 SDK，开发者只需要关心核心的检测逻辑，而不需要担心任何的兼容和适配性问题。这个想法一出来，就和公司的小伙伴们一拍即合，决定立刻开始做，这就是问脉 SDK 的由来。

修炼 "一指禅"

我们的目标是希望开发者用起来足够 easy，如果用武侠小说里面的概念来打比方，就好比是少林绝技 “一指禅”，无论情况多么复杂，我们都只需要用一只手指就能击破敌人。

然而这个事情说起来容易，做起来难。我们面临的第一个问题是，如何统一容器运行时? 熟悉云原生的人应该知道，所有的容器，实际上都是被容器运行时，比如  docker/containerd/cri-o/podman  等拉起来的。虽然他们做的事情差不多，然而功能实现细节上却大有不同，比如  docker  会将镜像的索引存储在一个  JSON  中，而  containerd  却使用了  boltdb  去存储镜像索引。

因此，为了让我们的 “一指禅” 足够科学和合理，我们需要尽可能的去抽象不同容器运行时公共行为，而对于容器运行时来说，公共行为无外乎和两个对象有关系，镜像和容器( pod  本质上也是容器，所以没有单独列出)，基于此，我们开始写下了第一行代码。

type Runtime interface {ListImageIDs() ([]string, error)ListContainerIDs() ([]string, error)}

通过上面定义的  interface  ，我们已经可以在忽略容器运行时的前提下，获取所有不同容器运行时的 镜像/容器 的唯一标识了(此处省略 n 行代码)。然而只有标识是不够的，我们还需要基于标识去打开对象，通过对象进行进一步的操作，于是我们完善了一下  Runtime  的定义。

type Runtime interface {ListImageIDs() ([]string, error)OpenImageByID(id string) (Image, error)ListContainerIDs() ([]string, error)OpenContainerByID(id string) (Container, error)}

在完成了上述  interface  的编写后，顺其自然的就发现，我们还需要定义  Image  和  Container  的公共行为。这里就必须要提到一个概念，OCI 规范(Open Container Initiative)，OCI 的本质是一个业界通用的容器规范，它包含核心的两部分，分别是  image-spec  和  runtime-spec ，对应到实际的概念，则分别是镜像规范以及容器规范。目前所有使用率较高的容器运行时，均遵循 OCI 规范，包括老大哥  docker 。而整个 OCI 规范下的运行流程如下图所示。

因此，基于 OCI 规范出发，镜像和容器都应该包含获取  OCISpec  这样一个公共行为。但显然只能获取  OCISpec  是不够的，因为它所提供的内容并不足以让我们做任何的安全检测。那让我们反过来思考，如果需要做安全检测，我们需要给这些对象赋予什么能力？答案其实很清晰，对于镜像而言，我们需要让它支持  Filesystem  的操作指令，比如打开镜像中的指定路径  /etc/shadow 。对于容器，我们需要让它支持  Filesystem/Psutil/Netstat  等操作指令，比如获取容器中的 1 号进程的  cmdline 。最终我们将镜像和容器定义为如下结构：

type Image interface {
    FileSystem

    ID() string
    OCISpec() *image-spec.Spec, error
    Repos() ([]string, error)
    RepoRefs() ([]string, error)
}

type Container interface {
    FileSystem
    Psutil
    Netstat

    ID() string
    Name() string
    ImageID() string
    OCISpec() *runtime-spec.Spec, error
}

小试牛刀

光说不练假把式，不能被用起来的 SDK 就不是一个好 SDK。完成了上面的功能开发后，让我们来看看，如果要检测镜像里面是否有包含 RSA 私钥的文件应该怎么写。

d, err := docker.New()
if err != nil {
    panic(err)
}

首先我们需要初始化一个容器运行时，这里显示的指定了  docker ，当然我们也可以指定其他容器运行时，返回的都是  Runtime  接口。

ids, _ := d.ListImageIDs()
for _, id := range ids {
    i, err := d.OpenImageByID(id)
    if err != nil {
        continue
    }

    // do something ...
}

接下来我们调用  Runtime  的  ListImageIDs  获取所有的镜像 ID，再调用  OpenImageByID  即可打开一个镜像实例。

_ = i.Walk("/", func(path string, info fs.FileInfo, err error) error {
    f, err := i.Open(path)
    if err != nil {
        return nil
    }

    b, err := ioutil.ReadAll(f)
    if err != nil {
        return nil
    }

    if strings.Contains(string(b), "-----BEGIN RSA PRIVATE KEY-----") {
        fmt.Printf("[alert] find rsa key in image: %s, filepath: %s\n", ref, path)
    }

    return nil
})

基于打开的镜像实例，直接调用  Walk  函数即可遍历镜像文件，并检测出包含了特定字符串的文件(示例中为  -----BEGIN RSA PRIVATE KEY----- )，简单的运行一下上面这个只有 50 行的小程序，结果如下:

结语

今天只是给大家简单介绍了一下问脉 SDK 最基础的功能，然而只有这些功能显然是不够的。接下来的文章，会给大家介绍各种各样的 “黑魔法”，诸如 binding/插件系统/跨对象关联 等等，然后一步步揭秘我们是如何将现在只有小小雏形的 SDK，打造成云原生安全的最强外挂。