本发明专利技术公开了一种漏洞组件的发现方法,属于网络安全技术领域。该方法包括以下步骤:步骤1,安全运营人员将存在漏洞的组件信息录入数据库中;步骤2,开发漏洞组件扫描引擎;步骤3,将漏洞组件扫描引擎嵌入到项目发布流程中;步骤4,项目发布时触发漏洞组件扫描引擎;步骤5,漏洞组件扫描引擎对存在组件漏洞的项目进行阻断、并通知项目负责人进行组件漏洞修复;步骤6,当存在组件漏洞的项目修复组件漏洞后,重新推送项目发布流程则能够自动通过。本发明专利技术还公开了一种漏洞组件的发现装置、计算机装置以及存储介质。本发明专利技术能快速发现项目中存在的漏洞组件,同时能督促研发人员修复漏洞组件。
A vulnerability component discovery method, discovery device, computer device and storage medium
【技术实现步骤摘要】
一种漏洞组件的发现方法、发现装置、计算机装置以及存储介质
本专利技术涉及网络安全
,涉及一种漏洞组件的发现方法、发现装置、计算机装置以及存储介质。
技术介绍
当前互联网上大部分的网络攻击事件以及恶意程序(病毒,蠕虫,木马等)都是跟漏洞相关的,因此研究漏洞发掘技术势在必行。漏洞发掘技术的研究可以调高软件产品的安全性和可靠性,减少恶意程序数量,避免网络攻击事件的发生,为软件产业和安全产业提供强有力的技术支持。安全漏洞发现包括对未知漏洞的挖掘和已知漏洞的识别。未知漏洞挖掘技术指通过人工或辅助工具对目标进行分析测试,对目标运行流程、参数传递、执行逻辑等进行挖掘,了解系统内部可能造成安全漏洞的特点。对已知漏洞来说,通过漏洞检测脚本匹配方式识别目标系统中存在的安全漏洞。传统漏洞挖掘的方法有很多种,主要包括源码静态分析,补丁比较,二进制代码审计和Fuzz技术。下面将详细介绍这四类技术的特点及所具有的局限性。源代码审计技术是采用代码扫描器对源代码进行扫描,并且根据已经有的溢出模板进行匹配来查找源代码中潜在的威胁。根据对源代码扫描分析方法的不同,可将该技术分为静态检测技术和动态检测技术。不过,它缺乏运行时环境检测、指针别名等问题。基于二进制程序的漏洞发掘技术主要是针对无法获取源代码的应用程序来进行的,它将目标程序进行反汇编生成汇编程序然后处理。不过,该技术存在误报率高,运用符号运行技术的代码覆盖率高等问题。补丁比较技术是通过对原始文件和补丁文件进行比对,从而发现补丁文件相对于原始文件差异的地方发掘潜在安全漏洞。其中基于源码的补丁比较技术较成熟,挖掘漏洞意义不大,基于二进制的补丁比较技术易受编译器优化的影响,无法精确匹配非结构化的改变等问题。而且,随着互联网的飞速发展,为优化研发成本,提升研发效率,避免重复“造轮”等问题,个人/公司将解某类问题的算法封装成了“组件”发布,供广大研发群体使用。但组件的发布者,在设计、研发过程中,由于疏忽大意等不可控因素,可能导致组件存在缺陷,这些缺陷通常影响一个或多个组件版本(如:1.0.5,1.0.5-1.0.8),组件缺陷较严重的情况下,可能导致重大安全问题,所有引用这些组件缺陷版本的项目均受影响。当使用漏洞组件的项目准备上线时,企业无法快速有效的识别、阻断这些项目,导致项目发布后出现重大安全事故。目前行业对于项目中漏洞组件的发现方式,主要靠研发人员自行排查,这种方式需要投入大量的人力,同时容易疏忽遗漏,无法做到督促研发人员修复。这已成为了急需解决的技术问题。
技术实现思路
针对现有技术中的缺陷,本专利技术的目的之一是提供一种漏洞组件的发现方法、发现装置、计算机装置以及存储介质,在项目发布过程中,解决对项目中存在的漏洞组件无法识别、阻断、督促修复的问题。为达到上述目的,本专利技术提供如下技术方案:一种漏洞组件的发现方法,该方法应用于漏洞组件的发现装置中,该装置包括录入单元、设置单元、嵌入单元以及触发单元,该方法包括以下步骤:步骤1,录入单元将存在漏洞的组件信息录入数据库中;步骤2,设置单元设置漏洞组件扫描引擎;步骤3,嵌入单元将漏洞组件扫描引擎嵌入到项目发布流程中;步骤4,当项目发布时,触发单元自动触发漏洞组件扫描引擎,所述漏洞组件扫描引擎对存在组件漏洞的项目进行阻断,并发出进行组件漏洞修复的通知,当存在组件漏洞的项目修复组件漏洞后,重新推送项目发布流程。进一步的,所述存在漏洞的组件信息包括组件名称、漏洞版本、版本对比位和语言。进一步的,所述接漏洞组件扫描引擎包括以下功能:项目下载、项目打包、获取项目所有组件和组件版本对比。进一步的,当所述项目发布时,自动触发漏洞组件扫描引擎,漏洞扫描引擎根据发布流程提供的项目地址获取项目代码,根据项目的语言开发语言从数据库中查询出该语言的所有的组件漏洞信息。进一步的,当所述项目下载好时,进行打包,打包完成后,识别出项目中所有的组件信息;根据漏洞组件名称,判断项目中是否使用漏洞组件;若漏洞组件存在,则将组件版本与漏洞版本进行对比;若对比成功,则阻断项目上线,并将项目信息和漏洞信息发送给开发负责人,要求对漏洞组件进行更新;漏洞组件进行修复后,重新发布项目,再次触发漏洞组件扫描引擎,在漏洞组件扫描引擎验证通过后,项目上线。进一步的,所述项目的语言开发语言为Java。进一步的,所述组件信息包括组件名称和组件版本。一种漏洞组件的发现装置,该装置用于实现上述方法,该装置包括:录入单元,用于将存在漏洞的组件信息录入数据库中;设置单元,用于设置漏洞组件扫描引擎;嵌入单元,用于将漏洞组件扫描引擎嵌入到项目发布流程中;触发单元,用于当项目发布时,自动触发漏洞组件扫描引擎,所述漏洞组件扫描引擎对存在组件漏洞的项目进行阻断,并发出进行组件漏洞修复的通知,当存在组件漏洞的项目修复组件漏洞后,重新推送项目发布流程。一种计算机装置,包括存储器、处理器及储存在存储器上并能够在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法。一种计算机可读存储介质,其上储存有计算机程序,所述计算机程序被处理器执行时实现上述方法。本专利技术的有益效果体现在:本专利技术能快速发现项目中存在的漏洞组件,同时能督促研发人员修复漏洞组件。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中,类似的元件或部分一般由类似的附图标记标识。附图中,各元件或部分并不一定按照实际的比例绘制。图1为本专利技术流程图。具体实施方式为了使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术作进一步地详细描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。在本专利技术实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本专利技术。在本专利技术实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义,“多种”一般包含至少两种。应当理解,本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。应当理解,尽管在本专利技术实施例中可能采用术语第一、第二、第三等来描述……,但这些……不应限于这些术语。这些术语仅用来将……区分开。例如,在不脱离本专利技术实施例范围的情况下,第一……也可以被称为第二……,类似地,第二……也可以被称为第一……。取决于语境,如在此所使用的词语“如果”、“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的商品或者装置不仅包括那些要素,而且还包括没有明本文档来自技高网...
【技术保护点】
1.一种漏洞组件的发现方法,该方法应用于漏洞组件的发现装置中,该装置包括录入单元、设置单元、嵌入单元以及触发单元,其特征在于,该方法包括以下步骤:步骤1,录入单元将存在漏洞的组件信息录入数据库中;步骤2,设置单元设置漏洞组件扫描引擎;步骤3,嵌入单元将漏洞组件扫描引擎嵌入到项目发布流程中;步骤4,当项目发布时,触发单元自动触发漏洞组件扫描引擎,所述漏洞组件扫描引擎对存在组件漏洞的项目进行阻断,并发出进行组件漏洞修复的通知,当存在组件漏洞的项目修复组件漏洞后,重新推送项目发布流程。
【技术特征摘要】
1.一种漏洞组件的发现方法,该方法应用于漏洞组件的发现装置中,该装置包括录入单元、设置单元、嵌入单元以及触发单元,其特征在于,该方法包括以下步骤:步骤1,录入单元将存在漏洞的组件信息录入数据库中;步骤2,设置单元设置漏洞组件扫描引擎;步骤3,嵌入单元将漏洞组件扫描引擎嵌入到项目发布流程中;步骤4,当项目发布时,触发单元自动触发漏洞组件扫描引擎,所述漏洞组件扫描引擎对存在组件漏洞的项目进行阻断,并发出进行组件漏洞修复的通知,当存在组件漏洞的项目修复组件漏洞后,重新推送项目发布流程。2.根据权利要求1所述的漏洞组件的发现方法,其特征在于,所述存在漏洞的组件信息包括组件名称、漏洞版本、版本对比位和语言。3.根据权利要求1所述的漏洞组件的发现方法,其特征在于,所述接漏洞组件扫描引擎包括以下功能:项目下载、项目打包、获取项目所有组件和组件版本对比。4.根据权利要求1所述的漏洞组件的发现方法,其特征在于,当所述项目发布时,自动触发漏洞组件扫描引擎,漏洞扫描引擎根据发布流程提供的项目地址获取项目代码,根据项目的语言开发语言从数据库中查询出该语言的所有的组件漏洞信息。5.根据权利要求4所述的漏洞组件的发现方法,其特征在于,当所述项目下载好时,进行打包,打包完成后,识别出项目中所有的组件信息;根据漏洞组件名称,判断项目中是否使用漏洞组件;若...
【专利技术属性】
技术研发人员:陶安洪,李英,文立乾,
申请(专利权)人:重庆八戒电子商务有限公司,
类型:发明
国别省市:重庆,50
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。