一种镜像的更新方法、装置、设备及介质与流程

1.本发明涉及容器与虚拟化技术领域，尤其涉及一种镜像的更新方法、装置、设备及介质。


背景技术：

2.环境中很多镜像都是基于同一个基础系统镜像创建(build)而成的，而如果这个基础系统镜像出现漏洞，进行修复后，通常做法是：基于修复后的基础系统镜像重新build依赖该基础系统镜像的镜像，并基于重新build的全部镜像重新运行涉及到的容器。
3.此过程需要重新创建镜像，重启容器，需要付出很大的代价。而对基础系统镜像的漏洞的修复方案本身可能就是比较简单的需要替换基础系统镜像中的某一个文件，而如果这个环境是产品已经销售出去的各个设备，那么将涉及到将重新build的多个镜像分发到上百个设备，增加了每个设备的工作压力。
4.在对基础系统镜像进行漏洞修复时，也可以不用重新build镜像，而是对运行的容器进行文件替换，因为全部容器使用的镜像都是基于需要进行漏洞修复的基础系统镜像生成的，所以全部容器都需要进行文件替换。该修复过程的工作量也很大，而且容器做出修改后不持久化，即使成功的对容器进行了文件替换，某些情况下docker重启，例如宿主机断电、docker升级等，也会导致容器丢失相关更改，所以一旦发生这样的情况容器又会重新恢复到没有修复漏洞的状态。


技术实现要素：

5.有鉴于此，本发明实施例提供了一种镜像的更新方法、装置、设备及介质，用以减小镜像修复的工作量，避免在外界环境的影响下丢失容器相关更改。
6.第一方面，本发明实施例提供了一种镜像的更新方法，所述方法包括：
7.对基础系统镜像进行漏洞修复，获取目标基础系统镜像，确定所述基础系统镜像与所述目标基础系统镜中不一致的第一目标文件，以及目标基础系统镜像中对所述第一目标文件替换后的第二目标文件；
8.获取待修复设备中待更新的镜像的基础系统镜像中记录的所述第一目标文件对应的文件路径，其中所述待修复设备中各所述待更新的镜像共用一个基础系统镜像；
9.发送所述文件路径及所述第二目标文件，以使所述待修复设备根据所述文件路径及所述第二目标文件对每个待更新的镜像进行修复。
10.进一步地，所述确定所述基础系统镜像与所述目标基础系统镜中不一致的第一目标文件包括：
11.获取所述基础系统镜像对应的第一压缩包及所述目标基础系统镜对应的第二压缩包；
12.比较所述第一压缩包与所述第二压缩包中最底层包含的文件，识别不一致的第一目标文件。
13.进一步地，所述获取待修复设备中待更新的镜像的基础系统镜像中记录的所述第一目标文件对应的文件路径包括：
14.根据所述待更新的镜像的存储路径中预设文件记录的信息，确定所述待更新的镜像的最底层的校验码标识信息；
15.根据所述校验码标识信息，构建所述最底层的路径信息；
16.查找所述最底层的路径信息中包含的索引标识信息，根据所述索引标识信息构建所述第一目标文件对应的文件路径。
17.进一步地，所述根据所述待更新的镜像的存储路径中预设文件记录的信息，确定所述待更新的镜像的最底层的校验码标识信息包括：
18.获取所述待更新的镜像的存储路径中第一预设文件中记录的所述待更新的镜像的标识信息；
19.根据所述标识信息，获取所述待更新的镜像的存储路径中第二预设文件中记录的元数据配置文件的路径；
20.根据所述元数据配置文件的路径，查找所述元数据配置文件中记录的最底层的校验码标识信息。
21.第二方面，本发明实施例还提供了一种镜像更新装置，所述装置包括：
22.第一获取模块，用于获取目标基础系统镜像，确定所述基础系统镜像与所述目标基础系统镜中不一致的第一目标文件，以及所述目标基础系统镜像中对所述第一目标文件替换后的第二目标文件；
23.第二获取模块，用于获取待修复设备中待更新的镜像的基础系统镜像中记录的所述第一目标文件对应的文件路径，其中所述待修复设备中所述待更新的镜像共用一个基础系统镜像；
24.修复模块，用于发送所述文件路径及所述第二目标文件，以使所述待修复设备根据所述文件路径及所述第二目标文件对每个待更新的镜像进行修复。
25.进一步地，所述第一获取模块，具体用于获取所述基础系统镜像对应的第一压缩包及所述目标基础系统镜对应的第二压缩包；比较所述第一压缩包与所述第二压缩包中最底层包含的文件，识别不一致的第一目标文件。
26.进一步地，所述第二获取模块，具体用于根据所述待更新的镜像的存储路径中预设文件记录的信息，确定所述待更新的镜像的最底层的校验码标识信息；根据所述校验码标识信息，构建所述最底层的路径信息；查找所述最底层的路径信息中包含的索引标识信息，根据所述索引标识信息构建所述第一目标文件对应的文件路径。
27.进一步地，所述第二获取模块具体用于根据所述标识信息，获取所述待更新的镜像的存储路径中第二预设文件中记录的元数据配置文件的路径；根据所述元数据配置文件的路径，查找所述元数据配置文件中记录的最底层的校验码标识信息。
28.第三方面，本发明实施例还提供了一种电子设备，所述电子设备至少包括处理器和存储器，所述处理器用于执行存储器中存储的计算机程序时上述执行权利要求中任一所述镜像更新的步骤。
29.第四方面，本发明实施例还提供了一种计算机可读存储介质，其存储有计算机程序，所述计算机程序被处理器执行时执行上述权利要求中任一所述镜像更新的步骤。
30.由于本发明实施例中，待更新的镜像共用一个基础系统镜像，并根据基础系统镜像以及修复后得到的目标基础系统镜像确定不一致的第一目标文件，获取待修复设备中待更新的镜像的基础系统镜像中记录的该第一目标文件对应的文件路径，基于该文件路径及该目标基础系统镜像中对该第一目标文件替换后的第二目标文件，即可完成对待修复设备中镜像的修复，该过程无需重启容器，仅对不一致的文件进行修复，减少了工作量。
附图说明
31.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
32.图1为本发明实施例提供的一种镜像的更新过程示意图；
33.图2为本发明实施例提供的一种镜像压缩包中记录的内容示意图；
34.图3为本发明实施例提供的一种最底层的路径信息的内容示意图；
35.图4为本发明实施例提供的一种最底层的文件路径下的内容示意图；
36.图5为本发明实施例提供的一种镜像与镜像的标识信息的对应关系示意图；
37.图6为本发明实施例提供的一种元数据内容的示意图；
38.图7为本发明实施例提供的一种对基础系统镜像的文件进行替换的程序示意图；
39.图8为本发明实施例提供的一种docker镜像和容器层结构示意图；
40.图9为本发明实施例提供的一种镜像更新的整体流程图；
41.图10为本发明实施例提供的一种替换公共层文件的过程示意图；
42.图11为本发明实施例提供的一种镜像更新装置结构示意图；
43.图12为本发明实施例提供的一种电子设备结构示意图。
具体实施方式
44.为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本技术一部分实施例，而非全部实施例。基于本技术中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
45.为了减少镜像修复工作量，避免因外界环境的影响丢失容器相关更改，本发明实施例提供了一种镜像的更新方法。
46.实施例1：
47.图1为本发明实施例提供的一种镜像的更新过程示意图，该过程包括如下步骤：
48.s101：对基础系统镜像进行漏洞修复得到目标基础系统镜像，确定所述基础系统镜像与所述目标基础系统镜中不一致的第一目标文件，以及所述目标基础系统镜像中对所述第一目标文件替换后的第二目标文件。
49.本发明实施例提供的镜像更新方法应用于电子设备，该电子设备可以是终端，服务器等设备。本发明实施例提供的镜像的更新方法是基于docker环境的。
50.当基础系统镜像出现漏洞后，为了保证镜像的正常运行，需要对基础系统镜像进
行漏洞修复，具体的对基础系统镜像进行漏洞修复的过程属于现有技术，在本发明实施例中不再赘述。
51.对基础系统镜像进行修复后得到的修复后的基础系统镜像即为目标基础系统镜像。为了实现对镜像的修复，在本发明实施例中，得到目标基础系统镜像后，比较目标基础系统镜像与基础系统镜像中的底层文件，从而确定基础系统镜像与目标基础系统镜像中底层中不一致的文件，将该不一致的文件作为第一目标文件，该第一目标文件也就是需要替换的文件，将该目标基础镜像中对该第一目标文件替换后的文件作为第二目标文件，该第二目标文件也就是需要替换成的文件。比如，在对基础系统镜像进行漏洞修复时，将文件a替换成了文件b，则在获得目标基础系统镜像后，该基础系统镜像与该目标基础系统镜像中不一致的第一目标文件为文件a，该目标基础系统镜像中对该第一目标文件替换后的第二目标文件为文件b。
52.s102：获取待修复设备中待更新的镜像的基础系统镜像中记录的所述第一目标文件对应的文件路径，其中所述待修复设备中各所述待更新的镜像共用一个基础系统镜像。
53.由于镜像本身是分层存储的，如果多个镜像共用一个基础系统镜像，那么这个基础系统镜像的最底端的层应该是被多个镜像所复用的，最底端的层作为公共的层被多个镜像复用。因此在本发明实施例中，采用该多个镜像共用一个基础系统镜像的结构进行镜像修复。
54.在本发明实施例中由于多个镜像共用一个基础系统镜像，基础系统镜像作为最底层为多个镜像的公共层，因此当确定了第一目标文件后，可以基于镜像所使用的公共层的层路径，查找该第一目标文件对应的文件路径，从而在该文件路径下替换该第一目标文件。
55.s103：发送所述文件路径及所述第二目标文件，以使所述待修复设备根据所述文件路径及所述第二目标文件对每个待更新的镜像进行修复。
56.为了使待修复设备能够进行镜像修复，当获取到第二目标文件及第一目标文件对应的文件路径后，将该文件路径及该第二目标文件发送给待修复设备，从而使待修复设备根据该文件路径及该第二目标文件对每个待更新的镜像进行修复。
57.将获取的第二目标文件发送到待修复设备，待修复设备根据该第二目标文件以及该文件路径，对第一目标文件的存储位置进行查找，从而将第一目标文件进行替换，将该第一目标文件替换为第二目标文件，完成对每个待更新的镜像的修复。
58.由于本发明实施例中，待更新的镜像共用一个基础系统镜像，并根据基础系统镜像以及修复后得到的目标基础系统镜像确定不一致的第一目标文件，获取待修复设备中待更新的镜像的基础系统镜像中记录的该第一目标文件对应的文件路径，基于该文件路径及该目标基础系统镜像中对该第一目标文件替换后的第二目标文件，即可完成对待修复设备中镜像的修复，该过程无需重启容器，仅对不一致的文件进行修复，减少了工作量。
59.实施例2：
60.为了准确的确定第一目标文件，在上述实施例的基础上，在本发明实施例中，所述确定所述基础系统镜像与所述目标基础系统镜中不一致的第一目标文件包括：
61.获取所述基础系统镜像对应的第一压缩包及所述目标基础系统镜对应的第二压缩包；
62.比较所述第一压缩包与所述第二压缩包中最底层包含的文件，识别不一致的第一
目标文件。
63.具体的，对应漏洞修复后的目标基础系统镜像，一般会将该目标基础系统镜像保存为压缩包，例如可以使用docker save imagename
‑
o image.tar指令，将目标基础系统镜像保存为tar包，相应的基础系统镜像也会保存为一个压缩包，为了区别基础系统镜像和目标基础系统镜像的压缩包，将基础系统镜像对应的压缩包称为第一压缩包，将目标基础系统镜像对应的压缩包称为第二压缩包。
64.压缩包中记录有镜像的层文件，该层文件中记录有对应层包含的每个文件。当获取到基础系统镜像和目标基础系统镜像的压缩包后，从每个压缩包中取到最底层对应的层文件，将两个压缩包最底层的层文件进行比对，从而获取到需要进行替换的第一目标文件。
65.图2为本发明实施例提供的一种镜像压缩包中记录的内容示意图，根据图2所示可知，layer.tar为目标基础系统镜像的压缩包中最底层的全部层文件。将第一压缩包与第二压缩包最底层的全部层文件进行比对，即可以得到需要进行替换的第一目标文件。
66.当确定了基础系统镜像与目标基础系统镜像中不一致的第一目标文件后，为了方便待修复设备进行镜像修复，在本发明实施例中可以将第一目标文件也打成压缩包，在发送时，可以将该压缩包上传到待修复设备进行下一步的替换动作。
67.实施例3：
68.为了获取准确的第一目标文件的文件路径，在上述各实施例的基础上，在本发明实施例中，所述获取待修复设备中待更新的镜像的基础系统镜像中记录的所述第一目标文件对应的文件路径包括：
69.根据所述待更新的镜像的存储路径中预设文件记录的信息，确定所述待更新的镜像的最底层的校验码标识信息；
70.根据所述校验码标识信息，构建所述最底层的路径信息；
71.查找所述最底层的路径信息中包含的索引标识信息，根据所述索引标识信息构建所述第一目标文件对应的文件路径。
72.由于docker文件的存储路径固定，而在该存储路径下包含的每个文件也是固定的，并且每个文件中记录的内容也是固定的。因此，可以根据每个文件记录的信息，预先配置预设文件，根据预设文件中记录的信息，确定待更新的镜像的最底层的校验码标识信息(diff_id)。
73.由于该docker文件中层所在的路径格式是固定的，具体的，该层所在的路径格式为/var/lib/docker/image/aufs/layerdb/sha256/{chainid}，其中，该chainid为待输入的各个层对应的校验码标识信息。因此，当获取到最底层的校验码标识信息后，可以基于该docker文件中层所在的路径格式以及该最底层的校验码标识信息，构建出最底层的路径信息。
74.若docker中层所在的路径格式为/var/lib/docker/image/aufs/layerdb/sha256/{chainid}，最底层的chainid等于diff_id，因此当获取到的最底层的diff_id为174f5685490326fc0a1c0f5570b8663732189b327007e47ff13d2ca59673db02时，基于上述方式，可以构建出最底层的路径信息为：/var/lib/docker/image/aufs/layerdb/sha256/174f5685490326fc0a1c0f5570b8663732189b327007e47ff13d2ca59673db02。
75.同样的，真实层的文件对应的文件路径对应的格式也是固定的，具体的，该真实层
的文件对应的文件路径对应的格式为/var/lib/docker/aufs/diff/{cache
‑
id}，其中，该cache
‑
id为待输入的各个层的索引标识信息。具体的，在确定最底层的路径信息后，该最底层的路径下包含各个名称的文件，确定该最底层路径下的cache
‑
id文件的内容，将该cache
‑
id文件的内容确定为最底层的索引标识信息。基于该最底层的索引标识信息以及该真实层的文件对应的文件路径对应的格式，构建最底层文件对应的文件路径，具体的，构建第一目标文件对应的文件路径。
76.图3为本发明实施例提供的一种最底层的路径信息的内容示意图，现针对图3进行说明。
77.在该路径信息下记录的文件有cache
‑
id，diff以及size等信息。基于该cache
‑
id文件包含的内容确定索引标识信息。
78.因为层文件的文件路径信息与cache
‑
id存在固定关系，具体的层文件的文件路径信息的可以用以下方式表达：/var/lib/docker/aufs/diff/{cache
‑
id}，因此当获取到cache
‑
id的值为：
79.1fedc742b7efd5fc14f87e5b56c1b0aed19fdde399e9d280b382d14333cf4208时，可以基于该cache
‑
id构建最底层的文件对应的文件路径，具体的，该文件路径为：/var/lib/docker/aufs/diff/1fedc742b7efd5fc14f87e5b56c1b0aed19fdde399e9d280b382d14333cf4208。
80.图4为本发明实施例提供的一种最底层的文件路径下的内容示意图。
81.据图4所示，可以看到，这里面的目录结构已经是系统目录结构了。因此，可以基于获取到的第二目标文件的压缩包及该文件路径，进行文件替换。由于全部镜像和容器都使用到了这个基础系统镜像，因此替换动作会影响到全部使用该基础系统镜像的所有镜像及所有容器，从而实现了在无需build镜像，即可使用该基础系统镜像的所有镜像和所有容器的漏洞就行修复。
82.实施例4：
83.为了获取准确第一目标文件的文件路径，在上述各实施例的基础上，在本发明实施例中，所述根据所述待更新的镜像的存储路径中预设文件记录的信息，确定所述待更新的镜像的最底层的校验码标识信息包括：
84.获取所述待更新的镜像的存储路径中第一预设文件中记录的所述待更新的镜像的标识信息；
85.根据所述标识信息，获取所述待更新的镜像的存储路径中第二预设文件中记录的元数据配置文件的路径；
86.根据所述元数据配置文件的路径，查找所述元数据配置文件中记录的最底层的校验码标识信息。
87.docker文件的存储路径固定，文件默认存放在/var/lib/docker路径下，在该路径下存在的文件包括：repositories.json、imagedb以及layerdb，repositories.json中记录了每一个镜像与其对应的标识信息(sha256)的对应关系，因此可以将repositories.json确定为第一预设文件，基于该第一预设文件中记录的信息，确定待更新的镜像的标识信息。
88.具体的，docker文件默认存放在/var/lib/docker路径下，而其第一预设文件的存储路径为/var/lib/docker/image/aufs/repositories.json，基于该存储路径查找第一预
设文件，根据第一预设文件中记录的镜像与镜像的标识信息(sha256值)的对应关系，基于该镜像与镜像的标识信息的对象关系，可以针对每个待漏洞修复的镜像，查找该镜像的sha256值。
89.图5为本发明实施例提供的一种镜像与镜像的标识信息的对应关系示意图，根据该图可知，镜像10.67.2.143:8080/bsp/kafka对应的sha256为：db625ad3cad09b41b8f760d35028cf09bfeb90b112d3154798ce07caef41a145。
90.docker文件的imagedb文件中记录有元数据配置文件的路径，因为镜像的元数据所对应的路径格式是固定的，因此当确定了镜像的元数据所对应的路径后，基于该镜像的元数据所对应的路径的根文件系统(rootfs)节点下的diff_ids中记录有镜像所用到的各个层的diff_id，从而可以基于该信息确定待更新的镜像的最底层的diff_id。具体的diff_ids是一个数组，该数组中的第一个元素为待更新的镜像的最底层的diff_id。在本发明实施例中，为了确定最底层的路径信息，基于该镜像的元数据所对应的元数据的格式以及该待更新的镜像的最底层的校验码标识信息(diff_id),确定该镜像的元数据所对应的元数据所在的路径。其中，该镜像的元数据所对应的元数据的格式为固定的，具体的，镜像的元数据所对应的元数据的格式为：/var/lib/docker/image/aufs/imagedb/content/sha256/{imageid}，其中，该imageid为待输入的各个层的校验码标识信息，若该待更新的镜像的最底层的校验码标识信息为db625ad3cad09b41b8f760d35028cf09bfeb90b112d3154798ce07caef41a145，则该待更新的镜像的元数据所在的路径为/var/lib/docker/image/aufs/imagedb/content/sha256/db625ad3cad09b41b8f760d35028cf09bfeb90b112d3154798ce07caef41a145。
91.图6为本发明实施例提供的一种元数据内容的示意图，现针对图6进行说明：
92.镜像的元数据所对应的路径的根文件系统(rootfs)节点下的diff_ids中为一个数组，该数组中按照设定的顺序记录了镜像所用到个各个层的diff_id。其中，数组里的第一个元素为最底层的diff_id，而最后一个元素为最顶层的diff_id。
93.图7为本发明实施例提供的一种对基础系统镜像的文件进行替换的程序示意图，现针对图7进行说明。
94.若包含kafka镜像和zookeeper镜像，在对镜像更新之前，也就是说，在基于第一目标文件的路径以及第二目标文件对待更新的镜像更新之前，该系统内核的版本为linux release 7.9.2009，在基于第一目标文件的路径以及第二目标文件对待更新的镜像更新之后，具体的替换程序为：
95.pythonreplace_base_img.py10.67.2.143:8080/bsp/kafka/root/layer.tar，其中，该layer.tar为替换的文件，则该kafka镜像对应的容器的系统内核的版本为linux release 8.3.2011，该zookeeper镜像对应的容器的系统内核的版本也为linux release 8.3.2011，也就是说，用centos8.3镜像替换掉kafka镜像的最底层后，由于待更新的kafka镜像和zookeeper镜像都是用的centos7作为基础系统镜像，所以当kafka的最底层文件被替换后，可以查看zookeeper容器和kafka容器的基础系统镜像的版本全部变更为centos8，因此，由于全部镜像和容器都使用到了这个基础系统镜像，因此替换动作会影响到全部使用该基础系统镜像的镜像及容器，从而实现了在无需build镜像，即可对镜像和容器的公共层漏洞就行修复。
96.图8为本发明实施例提供的一种docker镜像和容器层结构示意图，现针对图8进行说明。
97.镜像(image)就是一堆只读层(read layer)的统一视角，容器(container)也是一堆层的统一视角，该容器与镜像的区别在于容器的最上面那一层是可读可写的(read
‑
write layer)。
98.图9为本发明实施例提供的一种镜像更新的整体流程图，现针对图9进行说明。
99.先基于docker中的repositories.json得到待更新镜像对应的sha256值，然后基于该sha256值确定镜像的元数据路径，进入该元数据路径，得到层信息数组，也就是diff_ids，根据该层信息数组，得到最底层的diff_id，其中，该最底层的diff_id为不该层信息数组中的第一个元素。基于该最底层的diff_id，确定最底层对应的路径，并得到最底层文件路径对应的cache_id，基于该cache_id，确定真实文件所在的路径，也就是第一目标文件对应的文件路径，基于该第一目标文件对应的文件路径，对相关文件进行替换，也就是说，基于该第一目标文件对应的文件路径以及第二目标文件，将该第一目标文件对应的文件路径对应的第一目标文件替换为第二目标文件，进而实现对于镜像的更新。
100.图10为本发明实施例提供的一种替换公共层文件的过程示意图，现针对图10进行说明。
101.先修复基础系统镜像的漏洞，获得目标基础系统镜像，得到该目标基础镜像中的底层的所有文件，并确定该基础系统镜像中的底层的所有文件，基于该目标镜像中底层的所有文件以及基础系统镜像中底层的所有文件，得到待替换的文件压缩包，也就是说，在确定基础系统镜像以及目标基础镜像中不一致的第一目标文件，将该第一目标文件压缩在一个压缩包中，然后上传待替换文件的压缩包，也就是说，上传该第一目标文件的压缩包。搜索并确认镜像底层公共路径，对该公共层进行文件替换，也就是说，确定该第一目标文件的文件路径，基于该文件路径以及目标基础系统镜像中间第一目标文件替换后的第二目标文件，将镜像中的第一目标文件替换为第二目标文件。
102.实施例5：
103.图11为本发明实施例提供的一种镜像更新装置结构示意图，该镜像更新装置包括：
104.第一获取模块1101，用于获取目标基础系统镜像，确定所述基础系统镜像与所述目标基础系统镜中不一致的第一目标文件，以及所述目标基础系统镜像中对所述第一目标文件替换后的第二目标文件；
105.第二获取模块1102，用于获取待修复设备中待更新的镜像的基础系统镜像中记录的所述第一目标文件对应的文件路径，其中所述待修复设备中所述待更新的镜像共用一个基础系统镜像；
106.修复模块1103，用于发送所述文件路径及所述第二目标文件，以使所述待修复设备根据所述文件路径及所述第二目标文件对每个待更新的镜像进行修复。
107.在一种可能的实施方式中，所述第一获取模块1101，具体用于获取所述基础系统镜像对应的第一压缩包及所述目标基础系统镜对应的第二压缩包；比较所述第一压缩包与所述第二压缩包中最底层包含的文件，识别不一致的第一目标文件。
108.在一种可能的实施方式中，所述第二获取模块1102，具体用于根据所述待更新的
镜像的存储路径中预设文件记录的信息，确定所述待更新的镜像的最底层的校验码标识信息；根据所述校验码标识信息，构建所述最底层的路径信息；查找所述最底层的路径信息中包含的索引标识信息，根据所述索引标识信息构建所述第一目标文件对应的文件路径。
109.在一种可能的实施方式中，所述第二获取模块1102，具体用于根据所述标识信息，获取所述待更新的镜像的存储路径中第二预设文件中记录的元数据配置文件的路径；根据所述元数据配置文件的路径，查找所述元数据配置文件中记录的最底层的校验码标识信息。
110.实施例6：
111.图12为本发明提供的一种电子设备结构示意图，在上述各实施例的基础上，本发明实施例还提供了一种电子设备，如图12所示，包括：处理器1201、通信接口1202、存储器1203和通信总线1204，其中，处理器1201，通信接口1202，存储器1203通过通信总线1204完成相互间的通信。
112.所述存储器1203中存储有计算机程序，当所述程序被所述处理器1201执行时，使得所述处理器1201执行如下步骤：
113.对基础系统镜像进行漏洞修复，获取目标基础系统镜像，确定所述基础系统镜像与所述目标基础系统镜中不一致的第一目标文件，以及所述目标基础系统镜像中对所述第一目标文件替换后的第二目标文件；
114.获取待修复设备中待更新的镜像的基础系统镜像中记录的所述第一目标文件对应的文件路径，其中所述待修复设备中所述待更新的镜像共用一个基础系统镜像；
115.发送所述文件路径及所述第二目标文件，以使所述待修复设备根据所述文件路径及所述第二目标文件对每个待更新的镜像进行修复。
116.在一种可能的实施方式中，所述确定所述基础系统镜像与所述目标基础系统镜中不一致的第一目标文件包括：
117.获取所述基础系统镜像对应的第一压缩包及所述目标基础系统镜对应的第二压缩包；
118.比较所述第一压缩包与所述第二压缩包中最底层包含的文件，识别不一致的第一目标文件。
119.在一种可能的实施方式中，所述获取待修复设备中待更新的镜像的基础系统镜像中记录的所述第一目标文件对应的文件路径包括：
120.根据所述待更新的镜像的存储路径中预设文件记录的信息，确定所述待更新的镜像的最底层的校验码标识信息；
121.根据所述校验码标识信息，构建所述最底层的路径信息；
122.查找所述最底层的路径信息中包含的索引标识信息，根据所述索引标识信息构建所述第一目标文件对应的文件路径。
123.在一种可能的实施方式中，所述根据所述待更新的镜像的存储路径中预设文件记录的信息，确定所述待更新的镜像的最底层的校验码标识信息包括：
124.获取所述待更新的镜像的存储路径中第一预设文件中记录的所述待更新的镜像的标识信息；
125.根据所述标识信息，获取所述待更新的镜像的存储路径中第二预设文件中记录的
元数据配置文件的路径；
126.根据所述元数据配置文件的路径，查找所述元数据配置文件中记录的最底层的校验码标识信息。
127.上述服务器提到的通信总线可以是外设部件互连标准(peripheral component interconnect，pci)总线或扩展工业标准结构(extended industry standard architecture，eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
128.通信接口用于上述电子设备与其他设备之间的通信。
129.存储器可以包括随机存取存储器(random access memory，ram)，也可以包括非易失性存储器(non
‑
volatile memory，nvm)，例如至少一个磁盘存储器。可选地，存储器还可以是至少一个位于远离前述处理器的存储装置。
130.上述处理器可以是通用处理器，包括中央处理器、网络处理器(network processor，np)等；还可以是数字指令处理器(digital signal processing，dsp)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
131.实施例7：
132.在上述各实施例的基础上，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有可由电子设备执行的计算机程序，当所述程序在所述电子设备上运行时，使得所述电子设备执行时实现如下步骤：
133.所述存储器中存储有计算机程序，当所述程序被所述处理器执行时，使得所述处理器执行如下步骤：
134.对基础系统镜像进行漏洞修复，获取目标基础系统镜像，确定所述基础系统镜像与所述目标基础系统镜中不一致的第一目标文件，以及所述目标基础系统镜像中对所述第一目标文件替换后的第二目标文件；
135.获取待修复设备中待更新的镜像的基础系统镜像中记录的所述第一目标文件对应的文件路径，其中所述待修复设备中所述待更新的镜像共用一个基础系统镜像；
136.发送所述文件路径及所述第二目标文件，以使所述待修复设备根据所述文件路径及所述第二目标文件对每个待更新的镜像进行修复。
137.在一种可能的实施方式中，所述确定所述基础系统镜像与所述目标基础系统镜中不一致的第一目标文件包括：
138.获取所述基础系统镜像对应的第一压缩包及所述目标基础系统镜对应的第二压缩包；
139.比较所述第一压缩包与所述第二压缩包中最底层包含的文件，识别不一致的第一目标文件。
140.在一种可能的实施方式中，所述获取待修复设备中待更新的镜像的基础系统镜像中记录的所述第一目标文件对应的文件路径包括：
141.根据所述待更新的镜像的存储路径中预设文件记录的信息，确定所述待更新的镜像的最底层的校验码标识信息；
142.根据所述校验码标识信息，构建所述最底层的路径信息；
143.查找所述最底层的路径信息中包含的索引标识信息，根据所述索引标识信息构建所述第一目标文件对应的文件路径。
144.在一种可能的实施方式中，所述根据所述待更新的镜像的存储路径中预设文件记录的信息，确定所述待更新的镜像的最底层的校验码标识信息包括：
145.获取所述待更新的镜像的存储路径中第一预设文件中记录的所述待更新的镜像的标识信息；
146.根据所述标识信息，获取所述待更新的镜像的存储路径中第二预设文件中记录的元数据配置文件的路径；
147.根据所述元数据配置文件的路径，查找所述元数据配置文件中记录的最底层的校验码标识信息。
148.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd
‑
rom、光学存储器等)上实施的计算机程序产品的形式。
149.本发明是参照根据本发明的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
150.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
151.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
152.显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。