软件系统漏洞风险评估方法及装置制造方法及图纸
【技术实现步骤摘要】
本专利技术涉及信息安全
,尤其涉及一种软件系统漏洞风险评估方法及装 置。
技术介绍
随着软件系统越来越复杂,规模越来越庞大,促使了组件化软件开发等现代软件 工程方法的应用,软件系统往往不会从零全新开发,而会大量引用或依赖于其他第三方软 件。这些软件以软件包、组件、函数库、模块、Web服务等形式存在,通过一致的接口规范, 使用函数调用、数据传递、模块组合等方式进行交互,可共同组成大规模复杂的大型软件系 统。组件化的软件工程开发方法,有利于组件的重用,可快速利用已有的组件构建复杂应 用,能够大幅提高软件开发效率。一些组件由于实现了重要的基础功能,并且可免费获取开 放源代码,具有较高的声誉和很广的使用范围,因此这些组件更可能被用于其他软件系统 的开发。 尽管依赖第三方软件包有利于进行软件系统的开发,但是给软件系统的安全带来 潜在的隐患。这主要是因为开发者使用第三方软件包时,往往会因为软件包是开放的而且 具有较高的声誉,只重视其所提供的功能而不会对软件包的安全性进行审计,当软件系统 引入软件包时则可能将其脆弱性一并带入;其次,软件测试或维护人员往往将工...
【技术保护点】
一种软件系统漏洞风险评估方法,其特征在于,包括:对软件系统中的软件包依赖元数据进行预处理,构建软件依赖网络,其中,所述软件包依赖元数据为所述软件系统中记录所有软件包信息的文件;获取漏洞信息,根据所述漏洞信息构建漏洞与软件包之间的关联关系;根据所述软件依赖网络和所述漏洞与软件包之间的关联关系,查询存在漏洞的软件包以及直接或间接依赖所述软件包的其他软件包,构建软件包依赖关系子图;基于所述软件包依赖关系子图中各节点的重要程度,评估漏洞对整体软件系统的安全风险。
【技术特征摘要】
【专利技术属性】
技术研发人员:王兵,邓波,李海龙,赵亮,王峰,施寅生,许帅,
申请(专利权)人:北京系统工程研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。