一种开源软件安全管理方法和装置制造方法及图纸

本发明专利技术公开了一种开源软件安全管理方法和装置，方法包括：检索目标开源软件是否被列入开源库清单中，响应于未被列入而扫描目标开源软件并生成安全报告，且将目标开源软件和安全报告存入开源软件仓库的临时目录；针对目标开源软件提出技术评审申请并进行技术评审；响应于技术评审通过，针对目标开源软件提出安全评审申请，由安全评审为目标开源软件设置安全标签，并将目标开源软件从临时目录转入开源软件仓库的正式目录；实时监测目标开源软件，并响应于目标开源软件出现漏洞而基于漏洞的级别而改变安全标签，并选择性地启动应急响应。本发明专利技术能够有效控制开源软件的引入和使用，标识开源软件的安全状态，保障安全合规的使用开源软件。源软件。源软件。

【技术实现步骤摘要】
一种开源软件安全管理方法和装置


[0001]本专利技术涉及安全领域，更具体地，特别是指一种开源软件安全管理方法和装置。

技术介绍

[0002]开源软件在软件研发领域非常流行，具有开放、自由、共享等特性，开源软件也因此受到国内外企业、商业机构、研发人员、高校和科研单位的广泛青睐，在搭建业务应用系统时都会优先考虑加入开源软件，可省去不少重复的工作量，大大提升研发效率。
[0003]在开源软件为使用者提供便利的同时，其潜在的安全问题也备受关注。首先是合规问题，开源软件虽然是公开源代码，但公开不等于免费，每个开源软件都有对应的开源许可证协议，常见的如：GPL、LGPL、MPL、BSD、MIT和Apache，开源许可证协议中规定了开源软件的使用、修改、分享和分布等细则，如使用不当或违反条例可能会被追究法律责任，还有部分开源软件涉及出口管制问题，如开源软件或所属基金会被限制对外提供服务，这种情况下也是不可以直接使用的。
[0004]其次是安全漏洞，在开源软件使用过程中，一些安全事件皆因开源软件漏洞所致，如心脏出血漏洞导致全球互联网大量私钥和其他加密信息处于暴露危险下，Struts开源软件漏洞导致美国征信巨头Equifax发生数据泄露，以及Redis未授权访问漏洞导致服务器挖矿事件频发等等不胜枚举。
[0005]最后，开源软件还可能存在专利和知识产权侵权等风险，如开源贡献者或使用者可能将开源软件其中某项技术申请专利并获得批准，或者开源软件中包含专利但未作明示等，这些情况都存在侵权的可能性。虽然开源软件存在诸多隐患，但目前大多数企业尚未建立起一套行之有效的安全管理措施，开源风险识别能力较弱，在后期应对生产环境安全问题上付出了不小的成本和代价。
[0006]针对现有技术中开源软件安全风险高、难以管理的问题，目前尚无有效的解决方案。

技术实现思路

[0007]有鉴于此，本专利技术实施例的目的在于提出一种开源软件安全管理方法和装置，能够有效控制开源软件的引入和使用，标识开源软件的安全状态，保障安全合规的使用开源软件。
[0008]基于上述目的，本专利技术实施例的第一方面提供了一种开源软件安全管理方法，包括执行以下步骤：
[0009]检索目标开源软件是否被列入开源库清单中，响应于未被列入而扫描目标开源软件并生成安全报告，且将目标开源软件和安全报告存入开源软件仓库的临时目录；
[0010]针对目标开源软件提出技术评审申请并进行技术评审；
[0011]响应于技术评审通过，针对目标开源软件提出安全评审申请，由安全评审为目标开源软件设置安全标签，并将目标开源软件从临时目录转入开源软件仓库的正式目录；
[0012]实时监测目标开源软件，并响应于目标开源软件出现漏洞而基于漏洞的级别而改变安全标签，并选择性地启动应急响应。
[0013]在一些实施方式中，还包括：响应于扫描目标开源软件生成的安全报告中包括安全问题，而解决安全问题并重新扫描目标开源软件，直到生成的安全报告不包括安全问题。
[0014]在一些实施方式中，还包括：响应于由技术评审从临时目录获取目标开源软件，并确定目标开源软件具有需求合理性、满足选型条件、并且满足开源管理需求，而通过技术评审申请。
[0015]在一些实施方式中，还包括：由安全评审从临时目录获取目标开源软件和安全报告，并基于目标开源软件和安全报告所公开的合规风险程度，而为目标开源软件设置以下之一的安全标签：优选、非优选、禁选。
[0016]在一些实施方式中，还包括：在将目标开源软件从临时目录转入开源软件仓库的正式目录的同时，发出公告并将目标开源软件纳入开源库清单。
[0017]在一些实施方式中，基于漏洞的级别而改变安全标签包括：响应于漏洞的级别为高危漏洞而将安全标签调整为禁选；响应于漏洞的级别为中低危漏洞而将安全标签调整为非优选；选择性地启动应急响应包括：响应于漏洞的级别为高危漏洞而启动应急响应；响应于漏洞的级别为中低危漏洞而不启动应急响应。
[0018]在一些实施方式中，启动应急响应包括：收集受影响的产品和/或服务清单并发布安全公告、确定漏洞修复日期、确定在修复日期前使用的替代性开源软件。
[0019]本专利技术实施例的第二方面提供了一种开源软件安全管理装置，包括：
[0020]处理器；和
[0021]存储器，存储有处理器可运行的程序代码，程序代码在被运行时执行以下步骤：
[0022]检索目标开源软件是否被列入开源库清单中，响应于未被列入而扫描目标开源软件并生成安全报告，且将目标开源软件和安全报告存入开源软件仓库的临时目录；
[0023]针对目标开源软件提出技术评审申请并进行技术评审；
[0024]响应于技术评审通过，针对目标开源软件提出安全评审申请，由安全评审为目标开源软件设置安全标签，并将目标开源软件从临时目录转入开源软件仓库的正式目录；
[0025]实时监测目标开源软件，并响应于目标开源软件出现漏洞而基于漏洞的级别而改变安全标签，并选择性地启动应急响应。
[0026]在一些实施方式中，步骤还包括：响应于扫描目标开源软件生成的安全报告中包括安全问题，而解决安全问题并重新扫描目标开源软件，直到生成的安全报告不包括安全问题；响应于由技术评审从临时目录获取目标开源软件，并确定目标开源软件具有需求合理性、满足选型条件、并且满足开源管理需求，而通过技术评审申请。
[0027]在一些实施方式中，基于漏洞的级别而改变安全标签包括：响应于漏洞的级别为高危漏洞而将安全标签调整为禁选；响应于漏洞的级别为中低危漏洞而将安全标签调整为非优选；
[0028]选择性地启动应急响应包括：响应于漏洞的级别为高危漏洞而启动应急响应；响应于漏洞的级别为中低危漏洞而不启动应急响应；
[0029]启动应急响应包括：收集受影响的产品和/或服务清单并发布安全公告、确定漏洞修复日期、确定在修复日期前使用的替代性开源软件。
[0030]本专利技术具有以下有益技术效果：本专利技术实施例提供的开源软件安全管理方法和装置，通过检索目标开源软件是否被列入开源库清单中，响应于未被列入而扫描目标开源软件并生成安全报告，且将目标开源软件和安全报告存入开源软件仓库的临时目录；针对目标开源软件提出技术评审申请并进行技术评审；响应于技术评审通过，针对目标开源软件提出安全评审申请，由安全评审为目标开源软件设置安全标签，并将目标开源软件从临时目录转入开源软件仓库的正式目录；实时监测目标开源软件，并响应于目标开源软件出现漏洞而基于漏洞的级别而改变安全标签，并选择性地启动应急响应的技术方案，能够有效控制开源软件的引入和使用，标识开源软件的安全状态，保障安全合规的使用开源软件。
附图说明
[0031]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种开源软件安全管理方法，其特征在于，包括执行以下步骤：检索目标开源软件是否被列入开源库清单中，响应于未被列入而扫描所述目标开源软件并生成安全报告，且将所述目标开源软件和安全报告存入开源软件仓库的临时目录；针对所述目标开源软件提出技术评审申请并进行技术评审；响应于所述技术评审通过，针对所述目标开源软件提出安全评审申请，由所述安全评审为所述目标开源软件设置安全标签，并将所述目标开源软件从所述临时目录转入所述开源软件仓库的正式目录；实时监测所述目标开源软件，并响应于所述目标开源软件出现漏洞而基于所述漏洞的级别而改变所述安全标签，并选择性地启动应急响应。2.根据权利要求1所述的方法，其特征在于，还包括：响应于扫描所述目标开源软件生成的所述安全报告中包括安全问题，而解决所述安全问题并重新扫描所述目标开源软件，直到生成的所述安全报告不包括安全问题。3.根据权利要求1所述的方法，其特征在于，还包括：响应于由技术评审从所述临时目录获取所述目标开源软件，并确定所述目标开源软件具有需求合理性、满足选型条件、并且满足开源管理需求，而通过所述技术评审申请。4.根据权利要求1所述的方法，其特征在于，还包括：由安全评审从所述临时目录获取所述目标开源软件和所述安全报告，并基于所述目标开源软件和所述安全报告所公开的合规风险程度，而为所述目标开源软件设置以下之一的安全标签：优选、非优选、禁选。5.根据权利要求1所述的方法，其特征在于，还包括：在将所述目标开源软件从所述临时目录转入所述开源软件仓库的正式目录的同时，发出公告并将所述目标开源软件纳入所述开源库清单。6.根据权利要求1所述的方法，其特征在于，基于所述漏洞的级别而改变所述安全标签包括：响应于所述漏洞的级别为高危漏洞而将所述安全标签调整为禁选；响应于所述漏洞的级别为中低危漏洞而将所述安全标签调整为非优选；选择性地启动应急响应包括：响应于所述漏洞的级别为高危漏洞而启动所述应急响应；响应于所述漏洞的级别为中低危...

【专利技术属性】
技术研发人员：邹小蔚，
申请(专利权)人：苏州浪潮智能科技有限公司，
类型：发明
国别省市：