【技术实现步骤摘要】
一种漏洞和软件对齐的方法、装置以及存储介质
本专利技术涉及软件测试领域,具体为一种使用搜索引擎推荐结果进行漏洞和软件对齐的方法、装置以及存储介质。
技术介绍
目前网络上有一定数量的安全网站维护了公开漏洞数据库,以记载相关的软件安全问题和解决办法,例如NVD,CVE等软件安全漏洞库,同时在部分大型网站官网上也维护了相关的漏洞数据,例如linux开源社区中有单独的bug反馈区域,微软官网也有相关软件的安全漏洞发布页面。这些数据格式各自不同,并且数据不太完整,对于NVD官网的数据来说,只会给出<开发商,软件名称>键值对,但是并不会给出该键值对对应于哪个开源项目仓库或者二进制文件,只能称为漏洞的描述信息,并不具有准确映射代码的能力,面对庞大的软件资源,无法准确的将漏洞和需要测试的软件相关联,为软件的安全维护和监控带来一定的障碍。漏洞对齐,其目的是针对已有的大量公开漏洞和开源软件做文件、函数、代码行级别的映射。公开漏洞能够准确的定位到某一段源代码,或者某一个代码仓库下的指定版本称为对齐,也即公开漏洞和开源代码的映射...
【技术保护点】
1.一种漏洞和软件对齐的方法,其特征在于,包括如下步骤:/nS101:抓取安全漏洞发布网站发布的漏洞信息,并进行实时更新,建立公开漏洞资源数据库;/nS102:根据所述公开漏洞资源数据库,建立包含公开漏洞的软件信息数据库;/nS103:以<开发商, 软件名称>的键值对为关键词,在指定网站范围内进行搜索,抓取搜索引擎推荐的搜索结果,将对应键值对的搜索结果插入软件信息数据库;/nS104: 对步骤S103得到的软件信息数据库进行过滤,筛选其中符合对齐要求的软件信息并设置为可信,标识所述符合对齐要求的软件信息为对齐完成数据,所述对齐要求为所述搜索结果中至少包含<...
【技术特征摘要】
1.一种漏洞和软件对齐的方法,其特征在于,包括如下步骤:
S101:抓取安全漏洞发布网站发布的漏洞信息,并进行实时更新,建立公开漏洞资源数据库;
S102:根据所述公开漏洞资源数据库,建立包含公开漏洞的软件信息数据库;
S103:以<开发商,软件名称>的键值对为关键词,在指定网站范围内进行搜索,抓取搜索引擎推荐的搜索结果,将对应键值对的搜索结果插入软件信息数据库;
S104:对步骤S103得到的软件信息数据库进行过滤,筛选其中符合对齐要求的软件信息并设置为可信,标识所述符合对齐要求的软件信息为对齐完成数据,所述对齐要求为所述搜索结果中至少包含<开发商,软件名称>键值对中的一个;
S105:每次更新漏洞资源数据库时查找并更新软件信息数据库。
2.根据权利要求1所述的一种漏洞和软件对齐的方法,其特征在于,步骤S101中所述漏洞资源数据库包含已知的安全漏洞信息和相关的涉及漏洞的软件信息。
3.根据权利要求1所述的一种漏洞和软件对齐的方法,其特征在于,步骤S102中,在建立最初,所述软件信息数据库中只包含<开发商,软件名称>的键值对,软件的版本以及指向的漏洞。
4.根据权利要求1所述的一种漏洞和软件对齐的方法,其特征在于,步骤S103中所述指定网站包括开源社区,或者二进制仓库。
5.一种漏洞和软件对齐的装置,其特征在于,包括如下模块:
漏洞资源数据库建立模块:抓取安全漏洞发布网站发布的漏洞信息,并进行实时更新,建立公开漏洞资源数据库;
软件信息数据库...
【专利技术属性】
技术研发人员:张世琨,高庆,李海洋,马森,
申请(专利权)人:北京北大软件工程股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。