本申请实施例提供了一种漏洞评估的方法、装置、计算设备和存储介质,该方法属于漏洞评估技术领域。该方法包括:获取被评估的操作系统上安装的至少一个软件的标识和来源信息,根据该至少一个软件中目标软件的来源信息,确定目标软件来自目标软件源,目标软件源与操作系统的提供方不相同。然后根据目标软件的标识和目标软件源的安全公告规则,判断目标软件是否受到安全公告规则中的漏洞的影响。采用本申请,可以全面的进行漏洞评估。可以全面的进行漏洞评估。可以全面的进行漏洞评估。
【技术实现步骤摘要】
漏洞评估的方法、装置、计算设备和存储介质
[0001]本申请涉及漏洞评估
,特别涉及一种漏洞评估的方法、装置、计算设备和存储介质。
技术介绍
[0002]为了及时的发现操作系统中的漏洞,在操作系统的使用过程中,漏洞评估工具可以及时的登录操作系统或者将代理(Agent)部署在操作系统上,判断操作系统是否受到漏洞的影响,并且输出漏洞评估报告。
[0003]相关技术中,漏洞评估工具获取操作系统上安装的软件的标识,该标识包括软件的名称和版本号。漏洞评估工具获取操作系统或者软件提供方定期发布的安全公告,安全公告包括但不限于漏洞,名称和编号、受影响情况、规避和解决方案。若该操作系统上安装的某个软件的名称与某个安全公告中的目标软件的名称相同,且该软件的版本低于目标软件的修复版本,则漏洞评估工具确定该软件会受到漏洞的影响。
[0004]由于软件不仅仅是操作系统的提供方提供的软件,还有可能是其它提供方提供的软件,然而相关技术中并未针对其它提供方提供的软件的漏洞评估方法,所以有可能造成漏洞评估的不全面。
技术实现思路
[0005]本申请提供了一种漏洞评估的方法、装置、计算设备和存储介质,用以全面的进行漏洞评估。
[0006]第一方面,本申请提供了一种漏洞评估的方法,该方法由计算设备执行,包括:计算设备获取操作系统上安装的至少一个软件的标识和来源信息;根据至少一个软件中目标软件的来源信息,确定目标软件来自目标软件源,其中,目标软件源与操作系统的提供方不相同;根据目标软件的标识和目标软件源的安全公告规则,判断目标软件是否受到安全公告规则中的漏洞的影响。
[0007]在本实施例中,计算设备获取操作系统上安装的至少一个软件的标识和来源信息,该标识可以为软件名称和版本号。然后使用至少一个软件中目标软件的来源信息,确定目标软件来自于目标软件源,该目标软件源与操作系统的提供方不相同。然后可以使用目标软件的标识和目标软件源的安全公告规则中描述的漏洞,判断目标软件是否受到安全公告规则中的漏洞的影响。这样,由于可以对操作系统上不是源于操作系统本身提供方的软件进行漏洞评估,所以扩展了漏洞评估的范围,使漏洞评估更全面。
[0008]在一种可能的实现方式中,至少一个软件包括除操作系统的提供方之外的提供方为操作系统开发的软件,和/或与操作系统兼容的软件。
[0009]在一种可能的实现方式中,获取操作系统上安装的至少一个软件的标识和来源信息,包括:在运行的linux操作系统上,获取linux操作系统上安装的至少一个软件的标识和来源信息。这样,可以针对运行的linux操作系统进行漏洞评估。
[0010]在一种可能的实现方式中,根据目标软件的来源信息,确定目标软件来自目标软件源,包括:将目标软件的来源信息与预存储的软件源特征库中的特征信息进行查找与匹配,确定目标软件来自目标软件源。
[0011]本申请所示的方案,可以获取预先存储的软件源特征库,然后将目标软件的来源信息与预先存储的软件源特征库中的特征信息进行匹配,确定目标软件来自目标软件源。这样,可以准确的确定出目标软件来自的软件源。
[0012]在一种可能的实现方式中,目标软件源的安全公告规则为在预存储的安全公告漏洞规则库中获取的目标软件源对应的安全公告规则;该方法还包括:在目标软件源的网站中,周期性获取目标软件源的新的安全公告规则,更新安全公告漏洞规则库中目标软件源对应的安全公告规则。
[0013]本申请所示的方案,可以在目标软件源的网站中,周期性获取目标软件源的新的安全公告规则,使用该新的安全公告规则更新安全公告漏洞规则库中的目标软件源的安全公告规则,使得在进行漏洞评估时,获取到最新的安全公告规则,进而使得漏洞评估的准确率更高。
[0014]在一种可能的实现方式中,该方法还包括:若未获取到目标软件源的安全公告规则,则输出不支持对目标软件进行漏洞评估的提示消息,和/或输出添加目标软件源的安全公告规则的提示消息。
[0015]本申请所示的方案,在未获取到目标软件源的安全公告规则的情况下,为了提醒用户,未对目标软件进行漏洞评估,可以输出不支持对目标软件进行漏洞评估的提示消息给用户。另外,也可以输出添加目标软件源的安全公告规则的提示消息,提示技术人员尽快的添加安全公告规则。
[0016]在一种可能的实现方式中,该方法还包括:生成并输出漏洞评估报告;其中,漏洞评估报告包括以下信息中的一种或多种:至少一个软件中存在漏洞的软件的标识、存在漏洞的漏洞类型、存在漏洞的软件的修复漏洞方式或至少一个软件中未进行漏洞评估的软件的标识。
[0017]本申请所示的方案,在进行漏洞评估后,生成并输出漏洞评估报告,使得用户了解对操作系统的评估结果,进而可以采取相应的措施,减少漏洞对操作系统造成的影响。
[0018]第二方面,本申请提供了一种漏洞评估的装置,该装置包括:获取模块,用于获取操作系统上安装的至少一个软件的标识和来源信息;确定模块,用于根据所述至少一个软件中目标软件的来源信息,确定所述目标软件来自目标软件源,其中,所述目标软件源与所述操作系统的提供方不相同;漏洞判断模块,用于根据所述目标软件的标识和所述目标软件源的安全公告规则,判断所述目标软件是否受到所述安全公告规则中的漏洞的影响。这样,由于可以对操作系统上不是源于操作系统本身提供方的软件进行漏洞评估,所以扩展了漏洞评估的范围,使漏洞评估更全面。
[0019]在一种可能的实现方式中,所述至少一个软件包括除所述操作系统的提供方之外的提供方为所述操作系统开发的软件,和/或与所述操作系统兼容的软件。
[0020]在一种可能的实现方式中,所述获取模块,用于:在运行的linux操作系统上,获取所述linux操作系统上安装的至少一个软件的标识和来源信息。
[0021]在一种可能的实现方式中,所述确定模块,用于:将所述目标软件的来源信息与预
存储的软件源特征库中的特征信息进行查找与匹配,确定所述目标软件来自所述目标软件源。
[0022]在一种可能的实现方式中,所述目标软件源的安全公告规则为在预存储的安全公告漏洞规则库中获取的所述目标软件源对应的安全公告规则;所述获取模块,还用于:在所述目标软件源的网站中,周期性获取所述目标软件源的新的安全公告规则,更新所述安全公告漏洞规则库中所述目标软件源对应的安全公告规则。
[0023]在一种可能的实现方式中,所述漏洞判断模块,还用于:若未获取到所述目标软件源的安全公告规则,则输出不支持对所述目标软件进行漏洞评估的提示消息,和/或输出添加所述目标软件源的安全公告规则的提示消息。
[0024]在一种可能的实现方式中,所述漏洞判断模块,还用于:生成并输出漏洞评估报告;其中,所述漏洞评估报告包括以下信息中的一种或多种:所述至少一个软件中存在漏洞的软件的标识、存在漏洞的漏洞类型、存在漏洞的软件的修复漏洞方式或所述至少一个软件中未进行漏洞评估的软件的标识。
[0025]第三方面,本申请提供了一种计算设备,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种漏洞评估的方法,其特征在于,所述方法包括:计算设备获取操作系统上安装的至少一个软件的标识和来源信息;所述计算设备根据所述至少一个软件中目标软件的来源信息,确定所述目标软件来自目标软件源,其中,所述目标软件源与所述操作系统的提供方不相同;所述计算设备根据所述目标软件的标识和所述目标软件源的安全公告规则,判断所述目标软件是否受到所述安全公告规则中的漏洞的影响。2.根据权利要求1所述的方法,其特征在于,所述至少一个软件包括除所述操作系统的提供方之外的提供方为所述操作系统开发的软件,和/或与所述操作系统兼容的软件。3.根据权利要求1或2所述的方法,其特征在于,所述计算设备获取操作系统上安装的至少一个软件的标识和来源信息,包括:所述计算设备在运行的linux操作系统上,获取所述linux操作系统上安装的至少一个软件的标识和来源信息。4.根据权利要求1至3任一项所述的方法,其特征在于,所述计算设备根据所述目标软件的来源信息,确定所述目标软件来自目标软件源,包括:所述计算设备将所述目标软件的来源信息与预存储的软件源特征库中的特征信息进行查找与匹配,确定所述目标软件来自所述目标软件源。5.根据权利要求1至4任一项所述的方法,其特征在于,所述目标软件源的安全公告规则为在预存储的安全公告漏洞规则库中获取的所述目标软件源对应的安全公告规则;所述方法还包括:所述计算设备在所述目标软件源的网站中,周期性获取所述目标软件源的新的安全公告规则,更新所述安全公告漏洞规则库中所述目标软件源对应的安全公告规则。6.根据权利要求1至5任一项所述的方法,其特征在于,所述方法还包括:若所述计算设备未获取到所述目标软件源的安全公告规则,则输出不支持对所述目标软件进行漏洞评估的提示消息,和/或输出添加所述目标软件源的安全公告规则的提示消息。7.根据权利要求1至6任一项所述的方法,其特征在于,所述方法还包括:所述计算设备生成并输出漏洞评估报告;其中,所述漏洞评估报告包括以下信息中的一种或多种:所述至少一个软件中存在漏洞的软件的标识、存在漏洞的漏洞类型、存在漏洞的软件的修复漏洞方式或所述至少一个软件中未进行漏洞评估的软件的标识。8.一种漏洞评估的装置,其特征在于,所述装置包括:获取模块,用于获取操作系统上安装的至少一个软件的标识和来源信息;确定模块,用于根据所述至...
【专利技术属性】
技术研发人员:艾淼,詹应根,
申请(专利权)人:华为云计算技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。