本发明专利技术公开了一种第三方库文件安全评估方法,包括:获取第三方库文件的特征信息;自漏洞库获得所述第三方库文件对应的漏洞列表;根据所述漏洞列表中的漏洞数目和漏洞等级,评估所述第三方库文件的安全性。本发明专利技术同时公开了一种第三方库文件安全评估系统、装置以及计算机可读存储介质。本发明专利技术不需要安全人员和第三方工具的介入,普通开发人员即可进行第三方库文件的安全性评估,降低了安全性评估成本,提高了软件产品的安全性,同时还可以减小安全性评估的时间,缩短了软件开发周期。
Third Party Library Document Security Assessment Method, System, Device and Storage Media
【技术实现步骤摘要】
第三方库文件安全评估方法、系统、装置及存储介质
本专利技术涉及网络安全
,尤其涉及一种第三方库文件安全评估方法、系统、装置及计算机可读存储介质。
技术介绍
当前应用软件和系统中大量引入了第三方库文件,第三方库文件中包含了大量的开源代码,而大量的开源代码给软件开发带来便利的同时,也带来了极大的不确定性。很多软件由于长期使用第三方库文件,大量的开源代码被引入到软件产品中,导致了持续的安全问题。而在程序开发设计阶段,开发者又经常忽略了第三方库文件的漏洞审查,甚至有些资源库直接被信手拈来使用。如果某个库文件存在漏洞,那么,大量使用了该库文件的软件程序都将面临安全威胁(如OpenSSL中出现的心脏滴血漏洞(Heartbleed)、GNUBash出现的破壳漏洞(Shellshock)和Java中的反序列化漏洞(Deserialization))。现阶段,主要通过以下两种方式对第三方库文件进行漏洞审查。方式一:通过安全人员人工对软件产品中运用的第三方库文件进行代码审查与开源漏洞分析;方式二:运用第三方工具,将第三方工具的代码嵌入到软件产品中进行风险监控,或者对软件产品进行代码扫描,识别并报告第三方库文件中存在的漏洞,提出修复建议。通过安全人员人工进行漏洞审查时,耗费时间长,将大大延长软件的开发周期,增加开发成本和资金投入;而且,很多中小型软件开发团队缺乏安全人员的角色,经验有限的开发人员很难识别出第三方库文件中存在的漏洞。运用第三方工具进行漏洞审查时,由于第三方库工具中也有第三方库文件的引入,故第三方工具本身可能也存在安全风险;其次,第三方工具代码的嵌入可能会对软件本身的稳定性造成威胁,代码扫描也可能泄露软件产品的核心代码;再者,第三方工具的稳定性也是一个考验,几乎不可能百分之百识别出所有第三方库风险,对于第三方工具错误上报的漏洞和漏掉的漏洞,一般的开发人员很难识别;另外,不同的第三方工具对同一开源漏洞的危险等级标识往往存在差异,缺乏权威性。
技术实现思路
本专利技术的目的在于提供一种第三方库文件安全评估方法、系统、装置以及计算机可读存储介质,以使开发人员能够选择更安全的第三方库文件。为实现上述目的,本专利技术提供了一种第三方库文件安全评估方法,包括:获取第三方库文件的特征信息;自漏洞库获得所述第三方库文件对应的漏洞列表;根据所述漏洞列表中的漏洞数目和漏洞等级,评估所述第三方库文件的安全性。较佳地,所述漏洞库包括NVD和CNNVD;“自漏洞库获得所述第三方库文件对应的漏洞列表”具体为:分别自NVD获得所述第三方库文件对应的CVE漏洞列表和自CNNVD获得所述第三方库文件对应的CNNVD漏洞列表。较佳地,所述特征信息包括文件名、版本号、发布时间及厂商。较佳地,所述第三方库文件安全评估方法还包括:获取所述第三方库文件对应的最新版本库文件的发布时间;计算所述最新版本库文件的发布时间与当前时间的时间差;根据所述最新版本库文件的发布时间与所述当前时间的时间差,评估所述第三方库文件的安全性。较佳地,所述第三方库文件安全评估方法还包括:获取所述第三方库文件的发布时间与所述第三方库文件对应的最新版本库文件的发布时间的时间差以及所述第三方库文件与所述最新版本库文件之间的版本数差距;根据所述第三方库文件与所述最新版本库文件之间的版本数差距以及所述第三方库文件的发布时间与所述最新版本库文件的发布时间的时间差,评估所述第三方库文件的安全性。较佳地,所述第三方库文件安全评估方法还包括:获取所述第三方库文件对应的最新版本库文件的发布时间;计算所述最新版本库文件的发布时间与当前时间的时间差;根据所述最新版本库文件的发布时间与所述当前时间的时间差,评估所述第三方库文件的安全性。较佳地,所述第三方库文件安全评估方法还包括:分别对所述漏洞数目、所述漏洞等级、所述最新版本库文件的发布时间与所述当前时间的时间差、所述第三方库文件与所述最新版本库文件之间的版本数差距以及所述第三方库文件的发布时间与所述最新版本库文件的发布时间的时间差赋予权值以评估所述第三方库文件的安全性。为实现上述目的,本专利技术还提供了一种第三方库文件安全评估系统,包括信息获取模块、漏洞列表获取模块以及安全估算模块,所述信息获取模块用于用于获取第三方库文件的特征信息;所述漏洞列表获取模块用于自漏洞库获得所述第三方库文件对应的漏洞列表;所述安全估算模块用于根据所述漏洞列表中的漏洞数目和漏洞等级,评估所述第三方库文件的安全性。为实现上述目的,本专利技术还提供了一种第三方库文件安全评估装置,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时,执行如上所述的第三方库文件安全评估方法。为实现上述目的,本专利技术还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序可被处理器执行以完成如上所述的第三方库文件安全评估方法。与现有技术相比,本专利技术根据获取到的第三方库文件的特征信息自漏洞库第三方库文件对应的获得漏洞列表,然后根据漏洞列表中的漏洞数目和漏洞等级来实现第三方库文件的安全性评估,使得开发人员能够选择更安全的第三方库文件;而且,本专利技术不需要安全人员和第三方工具的介入,普通开发人员即可进行第三方库文件的安全性评估,降低了安全性评估成本,提高了软件产品的安全性,同时还可以减小安全性评估的时间,缩短了软件开发周期。此外,本专利技术是采用NVD和CNNVD两个漏洞库对第三方库文件的安全性进行评估,NVD和CNNVD均为业内权威的漏洞库,对NVD和CNNVD两个漏洞库的漏洞列表获取结果进行综合考虑,使得第三方库文件的安全性评估结果更加权威可靠。附图说明图1为本专利技术第三方库文件安全评估方法的一实施例的流程图。图2为本专利技术第三方库文件安全评估系统的一实施例的结构框图。图3为本专利技术第三方库文件安全评估装置的一实施例的结构框图。具体实施方式为了详细说明本专利技术的
技术实现思路
、构造特征,以下结合具体实施方式并配合附图作进一步说明。请参阅图1,本专利技术第三方库文件安全评估方法包括以下步骤:101,获取第三方库文件的特征信息;102,自漏洞库获得第三方库文件对应的漏洞列表;103,根据漏洞列表中的漏洞数目和漏洞等级,评估第三方库文件的安全性。作为优选实施例,漏洞库包括NVD(NationalVulnerabilityDatabase,美国国家漏洞库)和CNNVD(ChinaNationalVulnerabilityDatabaseofInformationSecurity,中国国家信息安全漏洞库);“自漏洞库获得第三方库文件对应的漏洞列表”具体为:分别自NVD获得第三方库文件对应的CVE(CommonVulnerabilitiesandExposures,公共漏洞和暴露,是由NVD漏洞库提供的)漏洞列表和自CNNVD获得第三方库文件对应的CNNVD漏洞列表;“根据漏洞列表中的漏洞数目和漏洞等级,评估第三方库文件的安全性”具体为:根据CVE漏洞列表包含的漏洞数目和漏洞的CVSS(CommonVulnerabilityScoringSystem,通用漏洞评分系统)评分以及CNNVD漏洞列表包含的漏洞数目和漏洞等级,评估第三方库文件的安全性。作为优选实施例本文档来自技高网...
【技术保护点】
1.一种第三方库文件安全评估方法,其特征在于,包括:获取第三方库文件的特征信息;自漏洞库获得所述第三方库文件对应的漏洞列表;根据所述漏洞列表中的漏洞数目和漏洞等级,评估所述第三方库文件的安全性。
【技术特征摘要】
1.一种第三方库文件安全评估方法,其特征在于,包括:获取第三方库文件的特征信息;自漏洞库获得所述第三方库文件对应的漏洞列表;根据所述漏洞列表中的漏洞数目和漏洞等级,评估所述第三方库文件的安全性。2.如权利要求1所述的第三方库文件安全评估方法,其特征在于,所述漏洞库包括NVD和CNNVD;“自漏洞库获得所述第三方库文件对应的漏洞列表”具体为:分别自NVD获得所述第三方库文件对应的CVE漏洞列表和自CNNVD获得所述第三方库文件对应的CNNVD漏洞列表。3.如权利要求1所述的第三方库文件安全评估方法,其特征在于,所述特征信息包括文件名、版本号、发布时间及厂商。4.如权利要求1所述的第三方库文件安全评估方法,其特征在于,还包括:获取所述第三方库文件对应的最新版本库文件的发布时间;计算所述最新版本库文件的发布时间与当前时间的时间差;根据所述最新版本库文件的发布时间与所述当前时间的时间差,评估所述第三方库文件的安全性。5.如权利要求1所述的第三方库文件安全评估方法,其特征在于,还包括:获取所述第三方库文件的发布时间与所述第三方库文件对应的最新版本库文件的发布时间的时间差以及所述第三方库文件与所述最新版本库文件之间的版本数差距;根据所述第三方库文件与所述最新版本库文件之间的版本数差距以及所述第三方库文件的发布时间与所述最新版本库文件的发布时间的时间差,评估所述第三方库文件的安全性。6.如权利要求...
【专利技术属性】
技术研发人员:熊帅帅,万振华,王颉,李绪勤,
申请(专利权)人:深圳开源互联网安全技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。