【技术实现步骤摘要】
一种检测.net项目组件及其漏洞的方法和装置
[0001]本专利技术涉及软件安全
,具体涉及一种检测.net项目组件及其漏洞的方法和装置。
技术介绍
[0002]目前,开发人员在进行.net项目开发时会广泛使用开源组件,据估计,每个应用程序的80%
‑
90%都由开源组件组成。有研究显示,软件应用程序中使用的第三方组件中有一半已经过时,可能不安全。而在使用了开源组件的所有应用程序中,超过60%包含已知的软件漏洞。那么分析每个开源组件的漏洞,将会给项目的组成分析(SCA)提供有效的信息支持。而在现有的对.net项目组件及漏洞检测的技术中,一是无法根据不同的项目类型识别出项目的组件,二是由于非完全自研组件一般是结合有自研内容和公开组件的内容,导致完全无法识别出非完全自研组件及其漏洞信息(包括不存在漏洞的信息)。
[0003]因此,有必要提供一种新的检测.net项目组件及其漏洞的方法,以解决上述问题。
技术实现思路
[0004]本专利技术的目的在于提供一种检测.net项目组件及其漏洞的...
【技术保护点】
【技术特征摘要】
1.一种检测.net项目组件及其漏洞的方法,其特征在于,包括:(1)从.net项目的配置文件中提取其使用的所有组件的信息;(2)将提取到的所有组件的信息与.net组件库中的开源组件的信息进行匹配,如果提取到的所述组件的信息匹配成功,进入步骤(3),如果提取到的所述组件的信息匹配不成功,进入步骤(4);(3)将匹配成功的组件的信息与漏洞库进行匹配并获取对应组件的漏洞信息;(4)将匹配不成功的组件与所述.net组件库中的开源组件进行内容相似度比较,如果所述.net组件库存在内容相似度达到预设标准的开源组件,进入步骤(5);(5)将所述.net组件库中内容相似度达到预设标准的开源组件与所述漏洞库进行匹配并获取对应的漏洞信息。2.如权利要求1所述的检测.net项目组件及其漏洞的方法,其特征在于,所述步骤(1)包括:根据不同框架结构下的所述配置文件选择对应的编译工具进行编译,以提取所述.net项目所使用的所有组件的信息。3.如权利要求1所述的检测.net项目组件及其漏洞的方法,其特征在于,所述.net组件库通过定时器实时监控开源组件平台获取所述开源组件平台中的组件信息并实时更新。4.如权利要求1所述的检测.net项目组件及其漏洞的方法,其特征在于,所述漏洞库包括CVE官网的漏洞信息;所述漏洞信息包括CPE信息,所述CPE信息与CVE漏洞存在对应关系。5.如权利要求1所述的检测.net项目组件及其漏洞的方法,其特征在于,所述步骤(4)包括:获取该匹配不成功的组件的文件哈希并与所述.net组件库中的开源组件进行比较以找出与该匹配不成功的组件具有最多哈希完全相同的文件个数的待判断开源组件;判断哈希完全相同的文件个数占该所述待判断开源组件中的所有文件的比例;如果哈希完全相同的文件个数所占的比例达到预设比例,则认为该待判断开源组件的内容相似度达到预设标准;和/或获取该匹配不成功的组件的文件内容并与所述.net组件库中的开源组件进行逐行比对以找出与该匹配不成功的组件具有最多内容完全相同的文件行数的待判断开源组件;判断内容完全相同的文件行数占该所...
【专利技术属性】
技术研发人员:汪杰,万振华,王颉,李华,董燕,
申请(专利权)人:深圳开源互联网安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。