【技术实现步骤摘要】
一种软件产品自主可控度的测评方法及系统
[0001]本专利技术涉及软件安全测评领域,具体涉及一种软件产品自主可控度的测评方法及系统。
技术介绍
[0002]随着软件产业的快速发展,软件供应链越发复杂多元,导致软件产品的自主性、安全性面临着巨大挑战。特别是开源软件越来越多,导致现在的软件大多数是被“组装”出来的,是由企业自主开发的源代码和开源软件代码共同组成。
[0003]源代码是软件的源头,源代码自主和安全是软件自主可控的基础。据统计数据表明,每千行代码就存在1个代码缺陷。开源软件也普遍存在着各种缺陷和漏洞,甚至被放入恶意代码。近年来,国内外科技公司由于源代码漏洞遭受攻击事件频发,安全威胁日益严重。
[0004]目前国内企业研制的软件产品普遍使用了相当数量的开源代码,甚至使用了已知漏洞的开源代码,存在着巨大的安全风险和隐患,使国产软件自主可控度大打折扣。另外,国产软件研制周期过短,偏重软件功能实现和性能提升,对软件安全缺陷和漏洞的重视程度不够,自己研发的自主代码也存在过多的安全风险,严重影响了国产软件的可控性...
【技术保护点】
【技术特征摘要】
1.一种软件产品自主可控度的测评方法,其特征在于,所述方法包括以下步骤:步骤1、对软件源代码进行分析,获取软件代码信息,所述软件代码信息包括软件架构、文件依赖关系、文件类型、文件数量、代码指纹信息;步骤2、对软件源代码进行多层级代码溯源分析,识别出开源代码、开源文件、自主代码和自主文件;步骤3、根据开源代码和自主代码信息,按照文件和代码分类进行计算,分别得到自主文件数量、开源文件数量、自主代码段数量、开源代码段数量,并计算得到百分数的自主文件比例、自主代码段比例、开源文件比例和开源代码段比例;根据以下公式,再加权计算得到自主比例Z:Z=自主文件比例
×
C1+自主代码段比例
×
C2其中,C1为自主文件比例的权重值;C2为自主代码段比例的权重值;对自主代码进行安全缺陷检测,确定自主代码缺陷情况,得到安全缺陷项的数量、各个安全缺陷项的风险等级,再计算出自主代码缺陷值IV;对开源代码信息进行处理,提取出用于漏洞比对的有用信息,剔除后续漏洞判断无用信息或干扰信息,并对有用信息进行归一化处理形成开源代码比对信息;再把开源代码比对信息与漏洞库的归一化漏洞信息进行比对,确定开源代码漏洞情况,包括漏洞数量、漏洞风险等级,再计算出开源代码漏洞值OV;归一化漏洞信息是指对公开漏洞库公布的漏洞信息进行归一化处理后,形成数据格式统一的漏洞信息;步骤4、根据自主代码比例Z、自主代码缺陷值IV和开源代码漏洞值OV,加权计算得到软件产品自主可控度F,按照设定的自主可控度等级划分条件对软件产品进行自主可控度分级,最终自动生成软件产品自主可控度测评报告;软件产品自主可控度F根据下式计算:F=Z
×
W1+IV
×
W2+OV
×
W3其中,W1为自主比例的权重值;W2为自主代码缺陷值的权重值;W3为开源代码漏洞值的权重值。2.如权利要求1所述的方法,其特征在于,所述多层级代码溯源分析,包括:基于依赖关系、代码指纹信息,与开源组件信息库进行文件、代码段的多层级的溯源分析,识别出开源组件和版本;通过与开源组件相似程度的分析和判断,高于预设阈值的文件和代码确定为开源文件和开源代码,等于或低于预设阈值的文件和代码为自主文件和自主代码。3.如权利要求1所述的方法,其特征在于,所述对自主代码进行安全缺陷检测,包括:进行缓冲区溢出、内存泄露、数组越界、变量未初始化使用、危险函数、死代码、信息泄露、权限管理不当的安全缺陷检测。4.一种软件产品自主可控度的测评系统,其特征在于,所述软件产品自主可控度的测评系统由软件源代码组成分析模块、开源组件信息库、多层级软件溯源分析模块、自主代码比例计算模块、自主代码安全检测模块、开源代码比对信息提取模块、漏洞库、漏洞比对分析引擎、测评报告自动生成模块组成;软件源代码组成分析模块用于对软件源代码进行分析,获取软件代码信息,所述软件代码信息包括软件架构、文件依赖关系、文件类型、文...
【专利技术属性】
技术研发人员:金达,刘健,霍珊珊,张益,董晶晶,张岩,刘润一,
申请(专利权)人:中电科北京信息测评认证有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。