DockDepend:一种Dockerfile指令行依赖关系抽取方法

1

作者 陈铁明 钟云锦 +2 位作者 朱志凌 王婷 宋琪杰 《小型微型计算机系统》 北大核心 2025年第10期2478-2486,共9页

针对Dockerfile指令行间依赖关系判断精度差、效率低的问题,提出了Dockerfile指令行依赖关系抽取方法DockDepend.通过数据处理模块抽取各指令行的特征信息,转换为统一的Meta特征结构,结合覆盖全指令组合的依赖判定规则,DockDepend可实... 针对Dockerfile指令行间依赖关系判断精度差、效率低的问题,提出了Dockerfile指令行依赖关系抽取方法DockDepend.通过数据处理模块抽取各指令行的特征信息,转换为统一的Meta特征结构,结合覆盖全指令组合的依赖判定规则,DockDepend可实现精准高效的依赖关系判断.实验结果表明,DockDepend的精准度显著优于基于关键词匹配方法和基于大语言模型的方法,平均准确率提升64.02%和44.17%.同时,DockDepend在处理效率方面明显优于人工手动标注和大语言模型,对于不同长度的Dockerfile解析速度均稳定在秒级.DockDepend实现了精准高效的Dockerfile指令行间依赖关系抽取,为Docker构建过程的优化和自动化提供了有力的技术支持. 展开更多

关键词 dockerfile 依赖判断 语义补充 AST分析 特征提取

在线阅读 下载PDF 职称材料

基于规则验证的Dockerfile临时文件静态检测方法

2

作者 苏珲 张建辉 +1 位作者 曾俊杰 楚小茜 《计算机工程》 北大核心 2025年第3期189-196,共8页

Dockerfile中存在的临时文件问题使Docker镜像打包了超过其功能所需的不必要的文件资源,导致镜像尺寸增大,影响了镜像传输和部署的效率。现有的动态分析法在运行时会产生大量日志,造成较大的系统开销,而静态分析法无法检测出临时文件的... Dockerfile中存在的临时文件问题使Docker镜像打包了超过其功能所需的不必要的文件资源,导致镜像尺寸增大,影响了镜像传输和部署的效率。现有的动态分析法在运行时会产生大量日志,造成较大的系统开销,而静态分析法无法检测出临时文件的多种变化形式,限制了其在日常检测中的有效应用。提出一种Dockerfile临时文件静态检测方法,通过规则验证收集21种临时文件形式,使用节点关联算法改进抽象语法树(AST)结构,提高检测效率,并在节点关联的AST(NA-AST)结构基础上使用着色机制对节点进行处理,保证检测完整性。实验结果表明,相较于现有方法,所提方法能够以较小的时间开销检测出文件中存在的各种临时文件形式。此外,提供一种对临时文件形式分类的依据,其可用于对后续临时文件新增形式的分析和检测,具有较高的普适性。 展开更多

关键词 Docker技术 容器 dockerfile临时文件 抽象语法树 镜像

在线阅读 下载PDF 职称材料

基于子树序列规则挖掘的Dockerfile误配置检测和修复方法

3

作者 王金双 赵宁 崔帅 《信息网络安全》 北大核心 2025年第1期124-133,共10页

Dockerfile是用于构建Docker容器镜像的文本文件,它包含一系列指令和配置,用于描述如何组装一个Docker容器的运行环境。然而,配置不当的Dockerfile可能引发很多性能与安全方面的问题。现有基于规则挖掘的检测与修复方法主要关注常见命... Dockerfile是用于构建Docker容器镜像的文本文件,它包含一系列指令和配置,用于描述如何组装一个Docker容器的运行环境。然而,配置不当的Dockerfile可能引发很多性能与安全方面的问题。现有基于规则挖掘的检测与修复方法主要关注常见命令内部的关联性,忽略了命令之间的依赖联系。这些方法通常侧重于高频命令,容易遗漏低频命令中的隐藏规律。针对上述问题,文章提出一种基于子树序列规则挖掘的Dockerfile误配置检测和修复方法。首先,将Dockerfile转化为抽象语法树,进一步分解为有序子树,并对子树进行序列化处理,以构建中间表示。随后,通过对子树进行聚类分组,并采用序列规则挖掘算法对各分组执行规则挖掘。在规则挖掘过程中,将规则前项限定为子树根节点,从而有效聚焦目标指令并抑制规则生成的爆发式增长。最后,进一步筛选最大序列规则,提取常用命令搭配模式,并总结归纳语义规则作为基准,用于Dockerfile的违规检测和自动修复。实验结果表明,该方法成功挖掘出31条语义规则,其中包括12条未公开规则。在违规检测精确率方面,相较于基准方法提升了10%;在修复成功率方面,相较于基准方法提升了5.6%。 展开更多

关键词 DOCKER dockerfile 规则挖掘 违规检测 自动修复

在线阅读 下载PDF 职称材料

基于双流深度学习的Dockerfile安全误配置检测方法

4

作者 赵宁 王金双 崔帅 《计算机科学》 北大核心 2025年第10期395-403,共9页

Dockerfile错误配置容易引发容器安全漏洞。现有检测方法侧重于文本的结构分析和语义理解,缺乏对指令使用频率、镜像层数、代码复杂度等度量特征的关注,准确率不高。针对该问题,提出一种融合特征度量与深度语义理解的双流深度学习检测... Dockerfile错误配置容易引发容器安全漏洞。现有检测方法侧重于文本的结构分析和语义理解,缺乏对指令使用频率、镜像层数、代码复杂度等度量特征的关注,准确率不高。针对该问题,提出一种融合特征度量与深度语义理解的双流深度学习检测方法。该方法首先采用静态检测工具识别并标注含有安全误配置的Dockerfile样本;然后构建抽象语法树解析并提取代码度量特征,并使用随机森林算法进一步筛选关键安全特征;最后提取文本信息和安全特征度量信息,输入双流模型进行检测。该模型采用双向长短期记忆网络追踪指令序列前后依赖,挖掘深度语义关联;应用Transformer模型构建高维度量表示,捕捉度量到安全配置缺陷的复杂映射;使用卷积神经网络子层和ReLU激活函数融合双流信息,实现Dockerfile安全误配置检测。实验表明,所提方法的查准率、查全率和F1值分别达到了96%,98%和97%,其性能相较于已有检测方法有所提升,可以有效识别Dockerfile安全误配置。 展开更多

关键词 容器安全 dockerfile 安全误配置检测 深度学习 双流模型

在线阅读 下载PDF 职称材料

面向Dockerfile的容器镜像构建工具 被引量：6

5

作者 耿朋 陈伟 魏峻 《计算机系统应用》 2016年第11期14-21,共8页

在容器虚拟化中,主流的镜像构建方式是通过Dockerfile来构建的.然而,在使用Dockerfile构建镜像时存在着明显的不足:由于Dockerfile语言的复杂性,使用文本编辑方式没有提供有效的语法引导,没有对Dockerfile可能存在的错误进行有效的检测... 在容器虚拟化中,主流的镜像构建方式是通过Dockerfile来构建的.然而,在使用Dockerfile构建镜像时存在着明显的不足:由于Dockerfile语言的复杂性,使用文本编辑方式没有提供有效的语法引导,没有对Dockerfile可能存在的错误进行有效的检测,导致构建容器镜像工作效率低下.此外,使用说明不完整的第三方镜像,无法有效的确定镜像的功能和使用方法,安全性也是第三方镜像所面临的一大挑战,这带来了容器镜像的重复利用率低下的问题.针对上述问题,在分析Dockerfile语法和统计分析Dockerfile常见错误以及深入研究Docker镜像存储机制的基础上,设计了一个面向Dockerfile的镜像构建工具,并使用了可视化编辑,错误检测,逆向分析等关键技术进行实现.该工具能够在镜像构建中提供有效的语法引导,对Dockerfile常见的错误进行有效检测,为了验证第三方镜像的功能和安全性,设计了一种由Docker镜像逆向生成Dockerfile的方式,用户可以通过Dockerfile完全了解第三方镜像的功能和使用方式,另外通过二次构建的方式也可一定程度上解决第三方镜像的安全性问题. 展开更多

关键词 Docker镜像 错误检测 逆向工程 dockerfile

在线阅读 下载PDF 职称材料

Dockerfile文件构建云计算镜像的研究 被引量：2

6

作者 欧阳桂秀 《信息记录材料》 2020年第12期226-228,共3页

介绍了Dockerfile文件的常用指令FROM、RUN、COPY、ADD、EXPOSE、CMD,ENTRYPOINT等。使用Dockerfile文件,用户可以快速创建自定义的镜像。

关键词 dockerfile 指令 镜像

在线阅读 下载PDF 职称材料

基于序列挖掘的Dockerfile规则自动提取工具 被引量：2

7

作者 詹威霖 周宇 《计算机系统应用》 2023年第7期293-298,共6页

Dockerfile定义了一组构建容器镜像的指令,这些指令指示了容器化的应用程序该如何构建.最近的研究表明Dockerfile存在相当多的质量问题.在本文中,我们提出了一种新的工具DMiner(Dockerfile Miner)来提取高质量Dockerfile中的隐含规则,... Dockerfile定义了一组构建容器镜像的指令,这些指令指示了容器化的应用程序该如何构建.最近的研究表明Dockerfile存在相当多的质量问题.在本文中,我们提出了一种新的工具DMiner(Dockerfile Miner)来提取高质量Dockerfile中的隐含规则,这些规则将有助于提升Dockerfile的质量.DMiner主要分为3个模块,分别负责Dockerfile的采集、过滤,Dockerfile的解析处理以及Dockerfile规则的挖掘提取,DMiner将Dockerfile解析成统一的序列表示并使用序列模式挖掘算法来提取规则.本工具对现有的Dockerfile数据集进行了扩充,同时新提取出了9条在其他工作未曾出现的规则,在真实数据集上的大量实验证明了该工具的有效性和高效性. 展开更多

关键词 dockerfile 规则挖掘 DOCKER 配置文件

在线阅读 下载PDF 职称材料

基于领域知识的Docker镜像自动构建方法 被引量：7

8

作者 陈伟 叶宏杰 +1 位作者 周家宏 魏峻 《大数据》 2021年第1期64-75,共12页

Dockerfile是构建Docker应用镜像的脚本代码,包含软件系统镜像构建所需的软件包及其依赖的下载、安装和配置的所有指令。编写Dockerfile需要丰富的领域知识,否则编写的Dockerfile容易产生镜像构建错误。针对此问题,提出一种基于领域知识... Dockerfile是构建Docker应用镜像的脚本代码,包含软件系统镜像构建所需的软件包及其依赖的下载、安装和配置的所有指令。编写Dockerfile需要丰富的领域知识,否则编写的Dockerfile容易产生镜像构建错误。针对此问题,提出一种基于领域知识的Docker镜像自动构建方法。该方法通过对大规模Dockerfile的自动解析,分析提取构建Docker镜像所需的软件依赖及安装配置等领域知识;在面向特定软件系统构建镜像时,从已构建的领域知识库中分析推断指定软件的依赖关系及安装操作,生成Dockerfile来构建Docker镜像。实验结果表明,该方法具有利用领域知识推断系统依赖关系和软件包安装方式、生成不同软件Dockerfile的能力。 展开更多

关键词 DOCKER dockerfile 知识图谱 软件包 系统依赖

在线阅读 下载PDF 职称材料

基于容器的复杂系统仿真应用自动封装技术 被引量：1

9

作者 王帅 朱峰 +2 位作者 姚益平 唐文杰 肖雨豪 《系统仿真学报》 CAS CSCD 北大核心 2020年第11期2199-2207,共9页

容器技术为复杂系统仿真应用的快速灵活部署提供了一种全新的解决方案。容器支持对仿真应用的服务化封装,可以大大降低仿真应用在不同运行环境上部署的难度。目前主流的容器镜像封装技术主要依赖手动编写Dockerfile文件,导致封装效率低... 容器技术为复杂系统仿真应用的快速灵活部署提供了一种全新的解决方案。容器支持对仿真应用的服务化封装,可以大大降低仿真应用在不同运行环境上部署的难度。目前主流的容器镜像封装技术主要依赖手动编写Dockerfile文件,导致封装效率低且容易引入人为错误。因此,提出了一种基于容器的复杂系统仿真应用自动封装技术,定义了支持重用的库组件模板,并将仿真应用与库组件模板融合生成组合镜像模板,组合镜像模板在通过语法优化与错误检测后自动生成Dockerfile。基于SUPE仿真引擎的复杂系统仿真应用封装实验证明了该自动封装技术的有效性。 展开更多

关键词 容器 复杂系统仿真 封装 dockerfile

原文传递

云原生技术在计算机实践课中的教学应用

10

作者 杨凯 付正 +1 位作者 曹惠珍 邵开丽 《电脑知识与技术》 2025年第30期96-99,共4页

高校计算机实践课是计算机课程的重要组成部分,但传统的高校计算机实践课程平台存在资源利用率低、不易管理维护等问题。为此,本文提出了一种以云原生技术为核心的高校计算机实践课程平台方案。该方案基于Kubernetes平台进行设计和实现... 高校计算机实践课是计算机课程的重要组成部分,但传统的高校计算机实践课程平台存在资源利用率低、不易管理维护等问题。为此,本文提出了一种以云原生技术为核心的高校计算机实践课程平台方案。该方案基于Kubernetes平台进行设计和实现,使用容器化技术构建实践环境,通过实践课程平台统一管理实践环境模板,并引入DevOps思想支持CI/CD(持续集成/持续部署)流程。该实践课程平台极大地简化了实践环境的搭建过程,提高了资源利用率,降低了实践环境管理和维护的难度。同时,学生可在教学中实践CI/CD流程,从而更好地理解软件开发的各个阶段,并对云原生技术有更全面、深入的了解。 展开更多

关键词 云原生 实践课 Kubernetes dockerfile DevOps

在线阅读 下载PDF 职称材料

Semi-Supervised Learning Based Tag Recommendation for Docker Repositories 被引量：3

11

作者 Wei Chen Jia-Hong Zhou +2 位作者 Jia-Xin Zhu Guo-Quan Wu Jun Wei 《Journal of Computer Science & Technology》 SCIE EI CSCD 2019年第5期957-971,共15页

Docker has been the mainstream technology of providing reusable software artifacts recently. Developers can easily build and deploy their applications using Docker. Currently, a large number of reusable Docker images ... Docker has been the mainstream technology of providing reusable software artifacts recently. Developers can easily build and deploy their applications using Docker. Currently, a large number of reusable Docker images are publicly shared in online communities, and semantic tags can be created to help developers effectively reuse the images. However, the communities do not provide tagging services, and manually tagging is exhausting and time-consuming. This paper addresses the problem through a semi-supervised learning-based approach, named SemiTagRec. SemiTagRec contains four components:(1) the predictor, which calculates the probability of assigning a specific tag to a given Docker repository;(2) the extender, which introduces new tags as the candidates based on tag correlation analysis;(3) the evaluator, which measures the candidate tags based on a logistic regression model;(4) the integrator, which calculates a final score by combining the results of the predictor and the evaluator, and then assigns the tags with high scores to the given Docker repositories. SemiTagRec includes the newly tagged repositories into the training data for the next round of training. In this way, SemiTagRec iteratively trains the predictor with the cumulative tagged repositories and the extended tag vocabulary, to achieve a high accuracy of tag recommendation. Finally, the experimental results show that SemiTagRec outperforms the other approaches and SemiTagRec’s accuracy, in terms of Recall@5 and Recall@10, is 0.688 and 0.781 respectively. 展开更多

关键词 TAG RECOMMENDATION DOCKER REPOSITORY dockerfile SEMI-SUPERVISED learning

原文传递