【技术实现步骤摘要】
第三方库文件安全评估方法、系统、装置及存储介质
本专利技术涉及网络安全
,尤其涉及一种第三方库文件安全评估方法、系统、装置及计算机可读存储介质。
技术介绍
当前应用软件和系统中大量引入了第三方库文件,第三方库文件中包含了大量的开源代码,而大量的开源代码给软件开发带来便利的同时,也带来了极大的不确定性。很多软件由于长期使用第三方库文件,大量的开源代码被引入到软件产品中,导致了持续的安全问题。而在程序开发设计阶段,开发者又经常忽略了第三方库文件的漏洞审查,甚至有些资源库直接被信手拈来使用。如果某个库文件存在漏洞,那么,大量使用了该库文件的软件程序都将面临安全威胁(如OpenSSL中出现的心脏滴血漏洞(Heartbleed)、GNUBash出现的破壳漏洞(Shellshock)和Java中的反序列化漏洞(Deserialization))。现阶段,主要通过以下两种方式对第三方库文件进行漏洞审查。方式一:通过安全人员人工对软件产品中运用的第三方库文件进行代码审查与开源漏洞分析;方式二:运用第三方工具,将第三方工具的代码嵌入到软件产品中进行风险监控,或者对软件产品进行...
【技术保护点】
1.一种第三方库文件安全评估方法,其特征在于,包括:获取第三方库文件的特征信息;自漏洞库获得所述第三方库文件对应的漏洞列表;根据所述漏洞列表中的漏洞数目和漏洞等级,评估所述第三方库文件的安全性。
【技术特征摘要】
1.一种第三方库文件安全评估方法,其特征在于,包括:获取第三方库文件的特征信息;自漏洞库获得所述第三方库文件对应的漏洞列表;根据所述漏洞列表中的漏洞数目和漏洞等级,评估所述第三方库文件的安全性。2.如权利要求1所述的第三方库文件安全评估方法,其特征在于,所述漏洞库包括NVD和CNNVD;“自漏洞库获得所述第三方库文件对应的漏洞列表”具体为:分别自NVD获得所述第三方库文件对应的CVE漏洞列表和自CNNVD获得所述第三方库文件对应的CNNVD漏洞列表。3.如权利要求1所述的第三方库文件安全评估方法,其特征在于,所述特征信息包括文件名、版本号、发布时间及厂商。4.如权利要求1所述的第三方库文件安全评估方法,其特征在于,还包括:获取所述第三方库文件对应的最新版本库文件的发布时间;计算所述最新版本库文件的发布时间与当前时间的时间差;根据所述最新版本库文件的发布时间与所述当前时间的时间差,评估所述第三方库文件的安全性。5.如权利要求1所述的第三方库文件安全评估方法,其特征在于,还包括:获取所述第三方库文件的发布时间与所述第三方库文件对应的最新版本库文件的发布时间的时间差以及所述第三方库文件与所述最新版本库文件之间的版本数差距;根据所述第三方库文件与所述最新版本库文件之间的版本数差距以及所述第三方库文件的发布时间与所述最新版本库文件的发布时间的时间差,评估所述第三方库文件的安全性。6.如权利要求...
【专利技术属性】
技术研发人员:熊帅帅,万振华,王颉,李绪勤,
申请(专利权)人:深圳开源互联网安全技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。