本申请提供一种漏洞确定方法、装置、电子设备及计算机可读存储介质,方法包括:提取项目中所使用到的第三方组件的函数调用;获取所述函数调用对应的漏洞,所述函数调用对应的漏洞为所述项目中所使用到的第三方组件的漏洞。这样就使得所获得到的漏洞,均是在项目中实际使用的第三方组件的函数调用所具有的漏洞,即使得所获得到的漏洞均为会使项目受影响的第三方组件的漏洞,从而无需再依赖开发人员或安全专家进行漏洞的影响分析,减少了人力成本,提高了漏洞分析效率。提高了漏洞分析效率。提高了漏洞分析效率。
【技术实现步骤摘要】
漏洞确定方法、装置、电子设备及计算机可读存储介质
[0001]本申请涉及软件
,具体而言,涉及一种漏洞确定方法、装置、电子设备及计算机可读存储介质。
技术介绍
[0002]目前的软件成分分析工具,可以通过识别源代码等方式,识别出项目中所使用的第三方组件,进而可以关联该第三方组件的已知安全漏洞。
[0003]但是,目前软件成分分析系统在检测出所使用的第三方组件之后,是将该第三方组件的所有存在的已知漏洞全部呈现出来。但在实际应用过程中,被测项目很可能由于各种原因而不受第三方组件的某个具体漏洞的影响。例如,项目未使用第三方组件受漏洞影响的功能,那么该漏洞即不会对项目造成影响。因此,在实际应用中,当第三方组件的所有存在的已知漏洞全部呈现出来之后,还需要依赖于开发人员或安全专家进一步进行漏洞的影响分析,从而造成大量的人力成本,影响漏洞分析效率。
技术实现思路
[0004]本申请实施例的目的在于提供一种漏洞确定方法、装置、电子设备及计算机可读存储介质,用以解决上述问题。
[0005]本申请实施例提供了一种漏洞确定方法,包括:提取项目中所使用到的第三方组件的函数调用;获取所述函数调用对应的漏洞;所述函数调用对应的漏洞为所述项目中所使用到的第三方组件的漏洞。
[0006]在上述实现过程中,通过对项目中所使用到的第三方组件的函数调用进行提取,进而仅获取该函数调用对应的漏洞,这样就使得所获得到的漏洞,均是在项目中实际使用的第三方组件的函数调用所具有的漏洞,即使得所获得到的漏洞均为会使项目受影响的第三方组件的漏洞,从而无需再依赖开发人员或安全专家进行漏洞的影响分析,减少了人力成本,提高了漏洞分析效率。
[0007]进一步地,提取项目中所使用到的第三方组件的函数调用,包括:提取所述项目的基础信息;所述基础信息中含有所述第三方组件的函数调用;确定所述基础信息使用的源代码语言类型或二进制格式类型;按照所述语言类型或所述二进制格式类型,对所述基础信息进行分析,得到所述第三方组件的函数调用。
[0008]在上述实现过程中,通过对项目的基础信息进行分析,可以准确得到第三方组件的函数以及与该函数存在调用关系的接口等函数调用的信息。
[0009]进一步地,所述基础信息包括文件名称、媒体信息、PE(Portable Executable,可移植可执行)文件信息中的至少一种。
[0010]在上述实现过程中,通过对项目的文件名称、媒体信息、PE文件信息中的至少一种进行分析,可以准确得到第三方组件的函数调用,从而保证方案的可靠性。
[0011]进一步地,获取所述函数调用对应的漏洞,包括:将所述函数调用在预先构建的漏
洞信息库中进行匹配,得到与所述函数调用相匹配的漏洞,所述漏洞信息库中关联存储有各漏洞对应的函数调用。
[0012]在上述实现过程中,通过预先构建漏洞信息库,进而依据漏洞信息库进行匹配的方式,一方面可以利用漏洞信息库快速实现对于本项目中对应的第三方组件的漏洞的获取;另一方面利用漏洞信息库,针对每一次的项目中第三方组件的漏洞确定,均可采用该漏洞信息库来实现,无需反复获取第三方组件的所有存在的已知漏洞及各漏洞对应的函数调用,可以有效节约处理资源,提高处理效率。
[0013]进一步地,所述漏洞信息库通过以下过程构建得到:采集各第三方组件的代码仓库中的代码信息,以及各所述第三方组件所存在的漏洞信息;根据所述漏洞信息,对所述代码信息进行分析,得到各漏洞信息对应的函数调用;关联保存各漏洞信息对应的漏洞与各所述漏洞信息对应的函数调用,得到所述漏洞信息库。
[0014]在上述实现过程中,通过对各种第三方组件的代码仓库中的代码信息进行分析,得到各漏洞对应信息对应的漏洞的函数调用,进而关联保存各漏洞与各所述漏洞对应的函数调用,这就可以得到可靠的漏洞信息库,从而可以保证后续方案执行的可靠性。
[0015]进一步地,根据所述漏洞信息,对所述代码信息进行分析,得到各漏洞信息对应的函数调用,包括:根据所述漏洞信息中的补丁说明信息,提取所述代码信息中的源代码补丁;对所述源代码补丁进行分析,得到函数调用。
[0016]在上述实现过程中,通过基于源代码补丁进行分析,可以有效得到第三方组件的函数调用,保证漏洞信息库的可靠构建。
[0017]进一步地,所述函数调用中包括:第三方组件的函数以及与所述函数存在调用关系的接口;对所述源代码补丁进行分析,得到函数调用,包括:对所述源代码补丁进行分析,确定出所述源代码补丁中修改的函数;根据所述源代码补丁中修改的函数,确定出与该函数存在调用关系的接口。
[0018]在上述实现过程中,基于源代码补丁可以确定出进行修改的函数,进而据此可以确定出与该函数存在调用关系的接口,从而可以实现对于函数调用的快速确定。
[0019]本申请实施例还提供了一种漏洞确定装置,包括:提取模块,用于提取项目中所使用到的第三方组件的函数调用;获取模块,用于获取所述函数调用对应的漏洞;所述函数调用对应的漏洞为所述项目中所使用到的第三方组件的漏洞。
[0020]本申请实施例还提供了一种电子设备,包括:处理器、存储器及通信总线;所述通信总线用于实现处理器和存储器之间的连接通信;所述处理器用于执行存储器中存储的一个或者多个程序,以实现上述任一种的漏洞确定方法。
[0021]本申请实施例中还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述任一种的漏洞确定方法。
附图说明
[0022]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他相关的附图。
[0023]图1为本申请实施例提供的一种漏洞确定方法的流程示意图;
[0024]图2为本申请实施例提供的一种漏洞信息库的构建流程示意图;
[0025]图3为本申请实施例提供的一种漏洞分析确定系统的结构示意图;
[0026]图4为本申请实施例提供的一种函数提取分析系统的处理逻辑示意图;
[0027]图5为本申请实施例提供的一种函数调用分析系统的处理逻辑示意图;
[0028]图6为本申请实施例提供的一种漏洞确定装置的结构示意图;
[0029]图7为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
[0030]下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
[0031]实施例一:
[0032]为了解决目前当第三方组件的所有存在的已知漏洞全部呈现出来之后,还需要依赖于开发人员或安全专家进一步进行漏洞的影响分析,从而造成大量的人力成本,影响漏洞分析效率问题,本申请实施例中提供了一种漏洞确定方法。本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种漏洞确定方法,其特征在于,包括:提取项目中所使用到的第三方组件的函数调用;获取所述函数调用对应的漏洞;所述函数调用对应的漏洞为所述项目中所使用到的第三方组件的漏洞。2.如权利要求1所述的漏洞确定方法,其特征在于,提取项目中所使用到的第三方组件的函数调用,包括:提取所述项目的基础信息;所述基础信息中含有所述第三方组件的函数调用;确定所述基础信息使用的源代码语言类型或二进制格式类型;按照所述语言类型或所述二进制格式类型,对所述基础信息进行分析,得到所述第三方组件的函数调用。3.如权利要求2所述的漏洞确定方法,其特征在于,所述基础信息包括文件名称、媒体信息、PE文件信息中的至少一种。4.如权利要求1
‑
3任一项所述的漏洞确定方法,其特征在于,获取所述函数调用对应的漏洞,包括:将所述函数调用在预先构建的漏洞信息库中进行匹配,得到与所述函数调用相匹配的漏洞,所述漏洞信息库中关联存储有各漏洞对应的函数调用。5.如权利要求4所述的漏洞确定方法,其特征在于,所述漏洞信息库通过以下过程构建得到:采集各第三方组件的代码仓库中的代码信息,以及各所述第三方组件所存在的漏洞信息;根据所述漏洞信息,对所述代码信息进行分析,得到各漏洞信息对应的函数调用;关联保存各漏洞信息对应的漏洞与各所述漏洞信息对应的函数调用,得到所述漏洞信息...
【专利技术属性】
技术研发人员:章磊,徐栋,黄永刚,韩建,齐向东,吴云坤,
申请(专利权)人:奇安信网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。