容器镜像漏洞风险检测方法、装置、电子设备及存储介质与流程

1.本技术涉及云计算技术领域，具体而言，涉及一种容器镜像漏洞风险检测方法、装置、电子设备及计算机存储介质。


背景技术：

2.随着云计算的发展，容器技术已经越来越广泛的运用到了实际生产中，同时也衍生出容器技术的安全性问题。docker是容器技术的一种实现形式，容器技术主要包含镜像、容器、仓库三部分。其中仓库是用于存储容器镜像的，容器是基于容器镜像运行的，镜像是创建容器的基础，是一个独立的文件系统，包括运行容器所需的程序和环境依赖，如果镜像中存在安全漏洞或不合规配置，当容器基于此镜像运行时，攻击者即可利用此安全漏洞进行攻击。因此容器镜像安全成为了容器安全中至关重要的一环。
3.现有技术针对容器镜像的安全性问题，提出了许多针对镜像漏洞扫描的方法，但是，现有技术的方法可在构建镜像前以及构建镜像后对其进行漏洞检测，却无法在构建镜像时对其不安全配置导致引发安全性问题进行漏洞检测。


技术实现要素：

4.本技术实施例的目的在于提供一种容器镜像漏洞风险检测方法、装置、电子设备及存储介质，可以在镜像构建过程中及时发现漏洞，防止漏洞的攻击，提高了对漏洞风险的检测效率，并且可以有效预防容器镜像的漏洞风险，提高构建镜像的安全性能。
5.第一方面，本技术实施例提供了一种容器镜像漏洞风险检测方法，所述方法包括：
6.获取构建所述容器的镜像的文本文件；
7.解析所述文本文件，得到所述镜像的镜像配置信息；
8.根据镜像仓库中的目标镜像获得所述镜像的关键字信息；
9.根据所述镜像配置信息对所述镜像进行核查，得到核查结果；
10.根据所述关键字信息对所述镜像进行漏洞检测，得到检测结果；
11.根据所述检测结果和所述核查结果对所述镜像的漏洞风险进行检测，得到配置风险值。
12.在上述实现过程中，通过镜像配置信息和关键字信息对镜像进行核查和漏洞检测，以多重防护方式确保漏洞的检测的全面性，可以在镜像构建过程中及时发现漏洞，防止漏洞的攻击，提高了对漏洞风险的检测效率，并且可以有效预防容器镜像的漏洞风险，提高构建镜像的安全性能。
13.进一步地，所述解析所述文本文件，得到所述镜像的镜像配置信息的步骤，包括：
14.对所述文本文件进行解析，得到文件解析对象；
15.对所述文件解析对象进行配置指令与操作指令匹配，得到基础配置信息；
16.构建镜像配置对象；
17.将所述基础配置信息存入镜像配置对象中，得到所述镜像配置信息。
18.在上述实现过程中，对文本文件进行解析得到文件解析对象，进而根据文件解析对象得到基础配置信息，可以使得基础配置信息更加精确，提高基础配置信息的实用性。
19.进一步地，所述根据镜像仓库中的目标镜像获得所述镜像的关键字信息的步骤，包括：
20.根据所述镜像仓库中的目标镜像获得镜像文件；
21.解析所述镜像文件，得到所述镜像的关键字信息。
22.在上述实现过程中，根据镜像文件得到关键字信息，可以简化对镜像文件的解析过程，更快地得到有效信息，缩短解析镜像文件的时间，提高效率。
23.进一步地，所述根据所述镜像仓库中的目标镜像获得镜像文件的步骤，包括：
24.获取所述镜像仓库中的所述目标镜像；
25.根据镜像解析工具对所述目标镜像进行分析，得到异构数据；
26.对所述异构数据进行转化，得到所述镜像文件。
27.在上述实现过程中，通过镜像解析工具对目标镜像进行分析，能够更快、更准确地得到异构数据，减小异构数据的误差，并且镜像解析工具的使用可以提高分析效率。
28.进一步地，所述解析所述镜像文件，得到所述镜像的关键字信息的步骤，包括：
29.对所述镜像文件进行解析，得到关键字解析数据；
30.构建sbom解析数据对象；
31.将所述关键字解析数据存入所述sbom解析数据对象中，得到所述镜像的关键字信息。
32.在上述实现过程中，将关键字解析数据存入sbom解析数据对象中，得到关键字信息，使得关键字信息能够更加准确地匹配到对应的关键字，提高关键字信息在后续漏洞检测过程中的使用效率。
33.进一步地，所述根据所述镜像配置信息对所述镜像进行核查，得到核查结果的步骤，包括：
34.对所述镜像配置信息进行敏感字核查，得到敏感字核查结果；
35.对所述镜像配置信息进行弱口令核查，得到弱口令核查结果；
36.对所述镜像配置信息进行配置规范核查，得到配置规范核查结果；
37.根据所述敏感字核查结果、所述弱口令核查结果和所述配置规范核查结果获得所述核查结果。
38.在上述实现过程中，通过镜像配置信息进行敏感字核查、弱口令核查和配置规范核查，可以多方面的对镜像进行核查，提高核查结果的精确程度，使得核查更加精细化，提高核查效率。
39.进一步地，所述根据所述关键字信息对所述镜像进行漏洞检测，得到检测结果的步骤，包括：
40.获取所述关键字信息中的依赖信息和操作系统信息；
41.根据所述依赖信息和所述操作系统信息在漏洞规则库中进行特征值匹配，得到所述检测结果。
42.在上述实现过程中，根据依赖信息和操作系统信息进行特征值匹配，可以准确、快速地检测到镜像中的漏洞，提高得到检测结果的效率。
43.进一步地，所述根据所述检测结果和所述核查结果对所述镜像的漏洞风险进行检测，得到配置风险值的步骤，包括：
44.根据所述检测结果和所述核查结果获得所述镜像的漏洞的cvss分值；
45.对所述cvss分值进行加权处理，得到所述镜像的漏洞风险分值；
46.根据所述漏洞风险分值获得所述配置风险值。
47.在上述实现过程中，对cvss分值进行加权处理，可以使得到的漏洞风险分值更加准确，从而提高对镜像漏洞风险的判断能力，确保容器镜像的漏洞风险检测的准确率。
48.第二方面，本技术实施例还提供了一种容器镜像漏洞风险检测装置，所述装置包括：
49.获取模块，用于获取构建所述容器的镜像的文本文件；
50.解析模块，用于解析所述文本文件，得到所述镜像的镜像配置信息；
51.信息获得模块，用于根据镜像仓库中的目标镜像获得所述镜像的关键字信息；
52.核查模块，用于根据所述镜像配置信息对所述镜像进行核查，得到核查结果；
53.漏洞检测模块，用于根据所述关键字信息对所述镜像进行漏洞检测，得到检测结果；
54.风险检测模块，用于根据所述检测结果和所述核查结果对所述镜像的漏洞风险进行检测，得到配置风险值。
55.在上述实现过程中，通过镜像配置信息和关键字信息对镜像进行核查和漏洞检测，以多重防护方式确保漏洞的检测的全面性，可以在镜像构建过程中及时发现漏洞，防止漏洞的攻击，提高了对漏洞风险的检测效率，并且可以有效预防容器镜像的漏洞风险，提高构建镜像的安全性能。
56.第三方面，本技术实施例提供的一种电子设备，包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
57.第四方面，本技术实施例提供的一种计算机可读存储介质，所述存储介质上存储有指令，当所述指令在计算机上运行时，使得所述计算机执行如第一方面任一项所述的方法。
58.第五方面，本技术实施例提供的一种计算机程序产品，所述计算机程序产品在计算机上运行时，使得计算机执行如第一方面任一项所述的方法。
59.本公开的其他特征和优点将在随后的说明书中阐述，或者，部分特征和优点可以从说明书推知或毫无疑义地确定，或者通过实施本公开的上述技术即可得知。
60.并可依照说明书的内容予以实施，以下以本技术的较佳实施例并配合附图详细说明如后。
附图说明
61.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围值的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
62.图1为本技术实施例提供的容器镜像漏洞风险检测方法的流程示意图；
63.图2为本技术实施例提供的容器镜像漏洞风险检测装置的结构组成示意图；
64.图3为本技术实施例提供的电子设备的结构组成示意图。
具体实施方式
65.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
66.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
67.下面结合附图和实施例，对本技术的具体实施方式作进一步详细描述。以下实施例用于说明本技术，但不用来限制本技术的范围值。
68.实施例一
69.图1是本技术实施例提供的容器镜像漏洞风险检测方法的流程示意图，如图1所示，该方法包括：
70.s1，获取构建容器的镜像的文本文件；
71.s2，解析文本文件，得到镜像的镜像配置信息；
72.s3，根据镜像仓库中的目标镜像获得镜像的关键字信息；
73.s4，根据镜像配置信息对镜像进行核查，得到核查结果；
74.s5，根据关键字信息对镜像进行漏洞检测，得到检测结果；
75.s6，根据检测结果和核查结果对镜像的漏洞风险进行检测，得到配置风险值。
76.在上述实现过程中，通过镜像配置信息和关键字信息对镜像进行核查和漏洞检测，以多重防护方式确保漏洞的检测的全面性，可以在镜像构建过程中及时发现漏洞，防止漏洞的攻击，提高了对漏洞风险的检测效率，并且可以有效预防容器镜像的漏洞风险，提高构建镜像的安全性能。
77.在s1中，通过本地仓库或者远程仓库获取构建容器的镜像的dockerfile文件或者docker-compose配置文件，也可以由用户手动上传构建镜像的dockerfile文件或者docker-compose配置文件。
78.进一步地，s2包括：
79.对文本文件进行解析，得到文件解析对象；
80.对文件解析对象进行配置指令与操作指令匹配，得到基础配置信息；
81.构建镜像配置对象；
82.将基础配置信息存入镜像配置对象中，得到镜像配置信息。
83.在上述实现过程中，对文本文件进行解析得到文件解析对象，进而根据文件解析对象得到基础配置信息，可以使得基础配置信息更加精确，提高基础配置信息的实用性。
84.解析文本文件，将文件实例化为一个文件解析对象，然后通过文件解析对象，进行配置指令和操作指令匹配，例如dockerfile文件解析对象中user配置指令以获取容器运行时的用户名(即基础配置信息)，arg配置指令以获取创建镜像过程中使用的变量(即基础配置信息)，env配置指令以获取容器运行的环境变量(即基础配置信息)等。
85.另外，如docker-compose配置文件解析对象中，expose配置指令以获取暴露的端
口信息，secrets配置指令以获取敏感数据(例如密码信息)等。
86.实例化一个镜像配置对象，将解析得到的基础配置信息存入镜像配置对象中等待后续进行漏洞检测和核查。
87.进一步地，s3包括：
88.根据镜像仓库中的目标镜像获得镜像文件；
89.解析镜像文件，得到镜像的关键字信息。
90.在上述实现过程中，根据镜像文件得到关键字信息，可以简化对镜像文件的解析过程，更快地得到有效信息，缩短解析镜像文件的时间，提高效率。
91.进一步地，根据镜像仓库中的目标镜像获得镜像文件的步骤，包括：
92.获取镜像仓库中的目标镜像；
93.根据镜像解析工具对目标镜像进行分析，得到异构数据；
94.对异构数据进行转化，得到镜像文件。
95.在上述实现过程中，通过镜像解析工具对目标镜像进行分析，能够更快、更准确地得到异构数据，减小异构数据的误差，并且镜像解析工具的使用可以提高分析效率。
96.作为一种可实现的实施方式，可以通过docker pull命令从镜像仓库获取目标镜像，此处的镜像仓库可以是个人或企业在本地搭建的harbor仓库、docker-registry仓库，可以是个人或企业在公网搭建的harbor仓库、docker-registry仓库，可以是dockerhub公有仓库等，除了从仓库获取目标镜像外，也可以通过docker save命令将目标镜像保存为一个tar包存在本地环境。
97.获取到目标镜像之后，通过syft镜像解析工具对目标镜像进行分析，分析完成后获得软件物料清单(software bill of materials，sbom)异构数据，将sbom异构数据转换为json格式的文本(sbom-json)。
98.进一步地，解析镜像文件，得到镜像的关键字信息的步骤，包括：
99.对镜像文件进行解析，得到关键字解析数据；
100.构建sbom解析数据对象；
101.将关键字解析数据存入sbom解析数据对象中，得到镜像的关键字信息。
102.在上述实现过程中，将关键字解析数据存入sbom解析数据对象中，得到关键字信息，使得关键字信息能够更加准确地匹配到对应的关键字，提高关键字信息在后续漏洞检测过程中的使用效率。
103.将sbom-json文本转化为一个文件解析对象，然后进行解析得到关键字解析数据：例如根据distro关键字解析提取镜像的操作系统类型以及版本信息；根据image_digest关键字解析提取镜像的摘要值信息；根据config关键字解析提取镜像的配置信息；根据source-target layers关键字解析提取镜像的镜像层信息；根据package关键字解析提取镜像的软件库依赖环境信息。
104.实例化一个sbom解析数据对象，将解析提取的关键字解析数据存入sbom解析数据对象中，等待后续进行漏洞检测和配置核查。
105.进一步地，s4包括：
106.对镜像配置信息进行敏感字核查，得到敏感字核查结果；
107.对镜像配置信息进行弱口令核查，得到弱口令核查结果；
vulnerability scoring system，cvss)分值；
124.对cvss分值进行加权处理，得到镜像的漏洞风险分值；
125.根据漏洞风险分值获得配置风险值。
126.在上述实现过程中，对cvss分值进行加权处理，可以使得到的漏洞风险分值更加准确，从而提高对镜像漏洞风险的判断能力，确保容器镜像的漏洞风险检测的准确率。
127.根据检测结果和核查结果中的每个漏洞的cvss分值，通过权重比例系数计算出该镜像的漏洞风险分值。例如：一个镜像的所有的漏洞cvss分值降序排列为a，b，c，d，权重值分别为x，y，z。计算ab的加权分值m＝(ax by)/z，再与c计算加权分值n＝(mx cy)/z，以此类推直到计算至最后一项，可以得到该镜像的配置风险值。
128.本技术实施例直接对文本文件进行解析检测，无需提前进行深度学习，通过本地预置漏洞规则库以及配置合规规则库，以及syft分析的sbom信息，在本地预置的规则库中进行规则匹配，去除漏洞误报率。
129.本技术实施例可避免自动构建镜像，大大提高了漏洞检测效率，节省了镜像存储的空间资源，解决了镜像安全性检测过程中无法对镜像配置信息进行合规性检查的问题。
130.实施例二
131.为了执行上述实施例一对应的方法，以实现相应的功能和技术效果，下面提供一种容器镜像漏洞风险检测装置，如图2所示，该装置包括：
132.获取模块1，用于获取构建容器的镜像的文本文件；
133.解析模块2，用于解析文本文件，得到镜像的镜像配置信息；
134.信息获得模块3，用于根据镜像仓库中的目标镜像获得镜像的关键字信息；
135.核查模块4，用于根据镜像配置信息对镜像进行核查，得到核查结果；
136.漏洞检测模块5，用于根据关键字信息对镜像进行漏洞检测，得到检测结果；
137.风险检测模块6，用于根据检测结果和核查结果对镜像的漏洞风险进行检测，得到配置风险值。
138.在上述实现过程中，通过镜像配置信息和关键字信息对镜像进行核查和漏洞检测，以多重防护方式确保漏洞的检测的全面性，可以在镜像构建过程中及时发现漏洞，防止漏洞的攻击，提高了对漏洞风险的检测效率，并且可以有效预防容器镜像的漏洞风险，提高构建镜像的安全性能。
139.进一步地，解析模块2还用于：
140.对文本文件进行解析，得到文件解析对象；
141.将文件解析对象进行配置指令与操作指令匹配，得到基础配置信息；
142.构建镜像配置对象；
143.对基础配置信息存入镜像配置对象中，得到镜像配置信息。
144.在上述实现过程中，对文本文件进行解析得到文件解析对象，进而根据文件解析对象得到基础配置信息，可以使得基础配置信息更加精确，提高基础配置信息的实用性。
145.进一步地，信息获得模块3还用于：
146.根据镜像仓库中的目标镜像获得镜像文件；
147.解析镜像文件，得到镜像的关键字信息。
148.在上述实现过程中，根据镜像文件得到关键字信息，可以简化对镜像文件的解析
过程，更快地得到有效信息，缩短解析镜像文件的时间，提高效率。
149.进一步地，信息获得模块3还用于：
150.获取镜像仓库中的目标镜像；
151.根据镜像解析工具对目标镜像进行分析，得到异构数据；
152.对异构数据进行转化，得到镜像文件。
153.在上述实现过程中，通过镜像解析工具对目标镜像进行分析，能够更快、更准确地得到异构数据，减小异构数据的误差，并且镜像解析工具的使用可以提高分析效率。
154.进一步地，信息获得模块3还用于：
155.对镜像文件进行解析，得到关键字解析数据；
156.构建sbom解析数据对象；
157.将关键字解析数据存入sbom解析数据对象中，得到镜像的关键字信息。
158.在上述实现过程中，将关键字解析数据存入sbom解析数据对象中，得到关键字信息，使得关键字信息能够更加准确地匹配到对应的关键字，提高关键字信息在后续漏洞检测过程中的使用效率。
159.进一步地，核查模块4还用于：
160.对镜像配置信息进行敏感字核查，得到敏感字核查结果；
161.对镜像配置信息进行弱口令核查，得到弱口令核查结果；
162.对镜像配置信息进行配置规范核查，得到配置规范核查结果；
163.根据敏感字核查结果、弱口令核查结果和配置规范核查结果获得核查结果。
164.在上述实现过程中，通过镜像配置信息进行敏感字核查、弱口令核查和配置规范核查，可以多方面的对镜像进行核查，提高核查结果的精确程度，使得核查更加精细化，提高核查效率。
165.进一步地，漏洞检测模块5还用于：
166.获取关键字信息中的依赖信息和操作系统信息；
167.根据依赖信息和操作系统信息在漏洞规则库中进行特征值匹配，得到检测结果。
168.在上述实现过程中，根据依赖信息和操作系统信息进行特征值匹配，可以准确、快速地检测到镜像中的漏洞，提高得到检测结果的效率。
169.进一步地，风险检测模块6还用于：
170.根据检测结果和核查结果获得镜像的漏洞的cvss分值；
171.对cvss分值进行加权处理，得到镜像的漏洞风险分值；
172.根据漏洞风险分值获得配置风险值。
173.在上述实现过程中，对cvss分值进行加权处理，可以使得到的漏洞风险分值更加准确，从而提高对镜像漏洞风险的判断能力，确保容器镜像的漏洞风险检测的准确率。
174.上述的容器镜像漏洞风险检测装置可实施上述实施例一的方法。上述实施例一中的可选项也适用于本实施例，这里不再详述。
175.本技术实施例的其余内容可参照上述实施例一的内容，在本实施例中，不再进行赘述。
176.实施例三
177.本技术实施例提供一种电子设备，包括存储器及处理器，该存储器用于存储计算
机程序，该处理器运行计算机程序以使电子设备执行实施例一的容器镜像漏洞风险检测方法。
178.可选地，上述电子设备可以是服务器。
179.请参见图3，图3为本技术实施例提供的电子设备的结构组成示意图。该电子设备可以包括处理器31、通信接口32、存储器33和至少一个通信总线34。其中，通信总线34用于实现这些组件直接的连接通信。其中，本技术实施例中设备的通信接口32用于与其他节点设备进行信令或数据的通信。处理器31可以是一种集成电路芯片，具有信号的处理能力。
180.上述的处理器31可以是通用处理器，包括中央处理器(central processing unit，cpu)、网络处理器(network processor，np)等；还可以是数字信号处理器(dsp)、专用集成电路(asic)、现成可编程门阵列(fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器31也可以是任何常规的处理器等。
181.存储器33可以是，但不限于，随机存取存储器(random access memory，ram)，只读存储器(read only memory，rom)，可编程只读存储器(programmable read-only memory，prom)，可擦除只读存储器(erasable programmable read-only memory，eprom)，电可擦除只读存储器(electric erasable programmable read-only memory，eeprom)等。存储器33中存储有计算机可读取指令，当计算机可读取指令由所述处理器31执行时，设备可以执行上述图1方法实施例涉及的各个步骤。
182.可选地，电子设备还可以包括存储控制器、输入输出单元。存储器33、存储控制器、处理器31、外设接口、输入输出单元各元件相互之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件相互之间可通过一条或多条通信总线34实现电性连接。处理器31用于执行存储器33中存储的可执行模块，例如设备包括的软件功能模块或计算机程序。
183.输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。输入输出单元可以是，但不限于，鼠标和键盘等。
184.可以理解，图3所示的结构仅为示意，电子设备还可包括比图3中所示更多或者更少的组件，或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
185.另外，本技术实施例还提供一种计算机可读存储介质，其存储有计算机程序，该计算机程序被处理器执行时实现实施例一的容器镜像漏洞风险检测方法。
186.本技术实施例还提供一种计算机程序产品，该计算机程序产品在计算机上运行时，使得计算机执行方法实施例所述的方法。
187.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每
个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的装置来实现，或者可以用专用硬件与计算机指令的组合来实现。
188.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
189.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
190.以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围值，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围值之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
191.以上所述，仅为本技术的具体实施方式，但本技术的保护范围值并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围值内，可轻易想到变化或替换，都应涵盖在本技术的保护范围值之内。因此，本技术的保护范围值应所述以权利要求的保护范围值为准。
192.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。