第三方组件漏洞检测方法、装置、设备及计算机存储介质制造方法及图纸

本发明专利技术涉及金融科技(Fintech)技术领域，本发明专利技术公开了一种第三方组件漏洞检测方法、装置、设备及计算机存储介质，该方法包括：接收组件漏洞检测请求，获取所述组件漏洞检测请求对应的项目源代码；根据所述项目源代码执行项目构建操作，获得项目目录和组件依赖树；获取所述项目目录中第三方组件的第一信息，和所述组件依赖树中各节点对应第三方组件的第二信息，将所述第一信息和所述第二信息作为组件信息与预设漏洞库中的漏洞信息进行对比；获取与所述漏洞信息匹配的目标组件信息，根据所述目标组件信息定位目标第三方组件。本发明专利技术中通过构建组件依赖树，确定各个组件之间的依赖关系，方便组件快速准确地定位，避免组件漏洞检测不全面。

【技术实现步骤摘要】
第三方组件漏洞检测方法、装置、设备及计算机存储介质
本专利技术涉及金融科技(Fintech)
，尤其涉及第三方组件漏洞检测方法、装置、设备及计算机存储介质。
技术介绍
随着互联网技术，尤其是互联网金融科技(Fintech)的飞速发展，越来越多的技术(大数据、分布式、区块链Blockchain、人工智能等)应用在金融领域。金融业务也越来越多，每个金融业务对应有项目源代码，项目源代码会调用开源的第三方组件，在第三方组件出现故障时，当前通过扫描项目源代码相关的文件目录，确定出现漏洞的第三方组件，但是文件目录中保存有的同名或者名字相似的组件很多，扫描时容易出现误报或漏报的情况，此外，第三方组件包括直接引入和间接引入，直接引入是指由本项目直接引入的，间接引入则是由本项目引入的第三方组件再次引入，通过直接分析配置文件，一般只能获取项目直接引入的第三方组件，会遗漏间接引入的第三方组件，因而，在间接引入的第三方组件故障时难以查询更新。
技术实现思路
本专利技术的主要目的在于提出一种第三方组件漏洞检测方法、装置、设备及计算机存储本文档来自技高网...

【技术保护点】
1.一种第三方组件漏洞检测方法，其特征在于，所述第三方组件漏洞检测方法包括如下步骤：/n接收组件漏洞检测请求，获取所述组件漏洞检测请求对应的项目源代码；/n根据所述项目源代码执行项目构建操作，获得项目目录和组件依赖树；/n获取所述项目目录中第三方组件的第一信息，和所述组件依赖树中各节点对应第三方组件的第二信息，将所述第一信息和所述第二信息作为组件信息与预设漏洞库中的漏洞信息进行对比；/n获取与所述漏洞信息匹配的目标组件信息，根据所述目标组件信息定位目标第三方组件。/n

【技术特征摘要】
1.一种第三方组件漏洞检测方法，其特征在于，所述第三方组件漏洞检测方法包括如下步骤：
接收组件漏洞检测请求，获取所述组件漏洞检测请求对应的项目源代码；
根据所述项目源代码执行项目构建操作，获得项目目录和组件依赖树；
获取所述项目目录中第三方组件的第一信息，和所述组件依赖树中各节点对应第三方组件的第二信息，将所述第一信息和所述第二信息作为组件信息与预设漏洞库中的漏洞信息进行对比；
获取与所述漏洞信息匹配的目标组件信息，根据所述目标组件信息定位目标第三方组件。


2.如权利要求1所述的第三方组件漏洞检测方法，其特征在于，所述第三方组件包括第一类组件和第二类组件；
所述根据所述项目源代码执行项目构建操作，获得项目目录和组件依赖树的步骤，包括：
对所述项目源代码进行扫描，获得所述项目源代码关联的配置文件；
根据所述项目源代码关联的配置文件拉取第一类组件，判断是否存在与所述第一类组件关联的配置文件；
若存在与所述第一类组件关联的配置文件，则根据所述第一类组件关联的配置文件拉取第二类组件，并判断是否存在与所述第二类组件关联的配置文件；
根据所述第二类组件关联的配置文件拉取新的第二类组件，直至不存在与所述新的第二类组件关联的配置文件；
将所述第一类组件赋予父节点，将所述第二类组件赋予子节点，将所述新的第二类组件赋予新的子节点构建得到组件依赖树。


3.如权利要求1所述的第三方组件漏洞检测方法，其特征在于，所述根据所述项目源代码执行项目构建操作，获得项目目录和组件依赖树的步骤，包括：
调用预设集成工具扫描所述项目源代码进行项目构建，获得所述项目源代码对应的构建代码，和所述构建代码的项目目录；
遍历所述构建代码的项目目录，判断是否存在与所述构建代码关联的配置文件；
若存在与所述构建代码关联的配置文件，获取所述构建代码关联的配置文件的文件格式；
根据所述文件格式选择调用预设的组件树构建指令，构建组件依赖树。


4.如权利要求1所述的第三方组件漏洞检测方法，其特征在于，所述获取所述项目目录中第三方组件的第一信息，和所述组件依赖树中各节点对应第三方组件的第二信息，将所述第一信息和所述第二信息作为组件信息与预设漏洞库中的漏洞信息进行对比的步骤，包括：
获取所述项目目录中第三方组件，及所述第三方组件的组件运行信息和组件调用信息，将所述组件运行信息和所述组件调用信息作为第一信息；
获取所述组件依赖树中各节点对应的第三方组件，及所述第三方组件的组件名称、组件标识、组件版本号和组件路径，将所述组件名称、所述组件标识、所述组件版本号和所述组件路径作为第二信息；
将所述第一信息和所述第二信息作为组件信息，将所述组件信息保存至预设的组件信息列表；
将所述组件信息列表中的组件信息与预设漏洞库中的漏洞信息进行对比。


5.如权利要求1所述的第三方组件漏洞检测方法，其特征在于，所述获取所述项目目录中第三方组件的第一信息，和所述组件依赖树中各节点对应第三方组件的第二信息，将所述第一信息和所述第...

【专利技术属性】
技术研发人员：余炯斌，
申请(专利权)人：深圳前海微众银行股份有限公司，
类型：发明
国别省市：广东;44