【技术实现步骤摘要】
适用于开源组件的安全与合规治理方法
[0001]本专利技术涉及一种开源组件的治理处理方法,尤其涉及一种适用于开源组件的安全与合规治理方法。
技术介绍
[0002]近来,随着开源软件的使用量日益增加,在系统开发中使用开源组件逐渐流行起来。2019年,Github的报告指出,超过360万个开源项目依赖了Top50的开源项目之一,rails/rails、facebook/jest、axios/axios等知名项目被其他上百万个开源项目使用。同时,开源项目平均有180个第三方依赖组件,具体的依赖组件数量从几个到上千个不等。依赖组件有很多优点,例如可以免费获得源代码并且可以修改源代码。事实上,很多OSS(Open Source Software)组件具有很高的可靠性,高性能性和鲁棒性。另一方面,在系统中复用OSS组件(一般指外部组件)在很多方面也存在一系列的挑战,例如从正确选择组件到将组件成功地集成到系统中,再到测试选择的组件。因此,开源软件虽然为IT行业带来了极大便利,提高了开发效率,降低了成本,但是在在很多方面也存在一系列的挑战,...
【技术保护点】
【技术特征摘要】
1.适用于开源组件的安全与合规治理方法,其特征在于包括以下步骤:步骤一,对知识库进行构建,扫描依赖配置文件,形成组件成分清单,建立组件关系树,步骤二,查找到有漏洞的依赖组件进行分析,步骤三,提供漏洞的修复方案及组件的动态修复方案;所述知识库包括,漏洞知识库、依赖组件知识库及关联知识库,知识库的构成过程通过漏洞与依赖信息的采集、数据的清洗与关联、知识库的持续更新模块完成,所述数据的清洗与关联的过程为,对收集到的漏洞信息先进行清洗去重,再根据统一数据格式存入漏洞库,最后进行关联整合深层去重形成最终的漏洞知识库;对于爬取到的漏洞信息,先通过去重算法清洗冗余和错误的数据,对于数据流中可能的重复数据,HsDedup首先利用布隆过滤器对数据块的重复性进行预判,接下来根据不同的条件分别对缓存区的热区及冷区及磁盘进行三级重复数据的检测;清洗后的数据会建立统一、标准的数据格式存入漏洞库,对漏洞的基本信息、依赖信息、文件信息、路径信息、函数信息及具体行数信息进行关联整合,若有多条数据各个字段是完全相同的一类数据,则会对其再次去重,关联整合后的漏洞库则是最终的漏洞知识库;依赖组件按包管理器分类爬取组件信息,并存入组件知识库;通过数据清洗脚本对获取到的组件信息和漏洞信息进行处理和分析,并且将基本信息、清洗结果等进行分类存储和管理;清洗关联后的信息统一存储进数据库,数据库包含项目信息库、漏洞库和依赖组件库,将漏洞知识库与组件知识库进行关联整合,形成关联知识库。2.根据权利要求1所述的适用于开源组件的安全与合规治理方法,其特征在于:所述漏洞与依赖信息的采集过程为,通过预设渠道获取漏洞和依赖组件的信息,对获取到的信息进行清洗和关联,并保持对知识库的持续更新。3.根据权利要求1所述的适用于开源组件的安全与合规治理方法,其特征在于:所述步骤一中,通过采集模块通过分布式爬虫、反爬虫绕过及更新策略进行漏洞特征的采集,所述漏洞特征包括CVE编号、标题、类型、解决方案、组件的名称、版本、许可证信息中的一种或是多种。4.根据权利要求3所述的适用于开源组件的安全与合规治理方法,其特征在于:所述采用人工导入模块进行配合,用于特定的组件信息、漏洞基本信息数据的导入。5.根据权利要求1所述的适用于开源组件的安全与合规治理方法,其特征在于:所述漏洞知识库漏洞和依赖组件知识库的持续更新采用Scrapy爬虫框架基础实施,通过gerapy对...
【专利技术属性】
技术研发人员:但吉兵,唐忱,罗敏,
申请(专利权)人:苏州棱镜七彩信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。