本申请提供一种自动化漏洞验证方法及相关设备,应用于自动化漏洞验证系统,自动化漏洞验证系统包括应用系统和应用系统的镜像系统。该方法包括:对应用系统进行检测,得到开源组件的台账信息,并根据台账信息得到待验证信息列表;基于待验证信息列表和应用系统的镜像系统进行验证,得到应用系统的漏洞验证结果信息,并根据漏洞验证结果信息对台账信息进行更新。进行后续进一步的验证,能够准确判断应用系统使用的漏洞组件版本是否受漏洞影响,通过对已有的台账信息中的可能受漏洞影响的应用系统进行定向验证提升了验证效率,再根据漏洞验证结果信息对台账信息进行更新,进一步确保了应用系统的安全资产信息的准确性。了应用系统的安全资产信息的准确性。了应用系统的安全资产信息的准确性。
【技术实现步骤摘要】
自动化漏洞验证方法及相关设备
[0001]本申请涉及网络安全
,尤其涉及一种自动化漏洞验证方法及相关设备。
技术介绍
[0002]针对于信息安全漏洞,当前有开源组件检测工具,它基于源代码检测的方式,可以判断出应用系统是否使用了漏洞组件版本,如判断出应用系统使用了分布式服务框架Dubbo 2.6.8版本,如此版本在漏洞影响范围内则认为此组件版本为漏洞组件,但没有后续的验证流程,比如分布式服务框架Dubbo 2.6.8虽然在漏洞影响范围内,但是针对此组件没有使用Hessian协议的应用系统是不受此漏洞影响的。
[0003]基于上述情况,现有技术无法判断是否存在漏洞,如果根据组件漏洞库判断为应用系统使用了漏洞组件导致判断不准确,缺少进一步的验证测试。
技术实现思路
[0004]有鉴于此,本申请的目的在于提出一种自动化漏洞验证方法及相关设备,用以解决上述技术问题。
[0005]基于上述目的,本申请的第一方面提供了一种自动化漏洞验证方法,应用于自动化漏洞验证系统,所述自动化漏洞验证系统包括应用系统和应用系统的镜像系统;
[0006]所述方法包括:
[0007]对所述应用系统进行检测,得到台账信息,并根据所述台账信息得到待验证信息列表;
[0008]基于所述待验证信息列表和所述应用系统的镜像系统进行验证,得到所述应用系统的漏洞验证结果信息,并根据所述漏洞验证结果信息对所述台账信息进行更新。
[0009]本申请的第二方面提供了一种自动化漏洞验证系统,自动化漏洞验证系统包括应用系统和应用系统的镜像系统;
[0010]漏洞检测模块,被配置为对所述应用系统进行检测,得到台账信息,并根据所述台账信息得到待验证信息列表;
[0011]漏洞验证模块,被配置为基于所述待验证信息列表和所述应用系统的镜像系统进行验证,得到所述应用系统的漏洞验证结果信息,并根据所述漏洞验证结果信息对所述台账信息进行更新。
[0012]本申请的第三方面提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现第一方面所述的方法。
[0013]本申请的第四方面提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使计算机执行第一方面所述方法。
[0014]从上面所述可以看出,本申请提供的自动化漏洞验证方法及相关设备,通过对应用系统进行检测,得到台账信息,并根据台账信息得到待验证信息列表,初步筛选出可能受
漏洞影响的系统范围,再通过基于待验证信息列表和应用系统的镜像系统进行验证,得到应用系统的漏洞验证结果信息,进行后续进一步的验证,能够准确判断应用系统使用的漏洞组件版本是否受漏洞影响,通过对已有的台账信息中的可能受漏洞影响的应用系统进行定向验证提升了验证效率,再根据漏洞验证结果信息对台账信息进行更新,进一步确保了应用系统的安全资产信息的准确性。
附图说明
[0015]为了更清楚地说明本申请或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0016]图1为本申请实施例的自动化漏洞验证方法的流程图;
[0017]图2为本申请实施例的漏洞库信息的示意图;
[0018]图3为本申请实施例的自动化漏洞验证系统的示意图;
[0019]图4为本申请实施例的自动化漏洞验证方法的示意图;
[0020]图5为本申请实施例的自动化漏洞验证系统的结构示意图;
[0021]图6为本申请实施例的电子设备的示意图。
具体实施方式
[0022]为使本申请的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本申请进一步详细说明。
[0023]需要说明的是,除非另外定义,本申请实施例使用的技术术语或者科学术语应当为本申请所属领域内具有一般技能的人士所理解的通常意义。本申请实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
[0024]相关技术中一般采用开源组件漏洞检测工具,以基于源代码的方式进行检测,例如针对一个应用系统的代码仓库发起开源组件检测,通过应用系统的源代码检测与自身维护的漏洞库进行对比,得到应用系统使用的组件是否在漏洞影响范围内,当应用系统使用的组件版本在漏洞影响范围内则认为此组件版本为漏洞组件,如果在漏洞影响范围内,但不受漏洞影响,没有后续的验证流程,这样的检测判断是不准确的。
[0025]本申请的实施例提供一种自动化漏洞验证方法,通过根据应用系统中代码仓库的源代码和自动化漏洞验证系统预先设置的漏洞库信息进行对比检测,得到台账信息,并根据组件等级信息将属于超危信息和高危信息对应的组件等级信息的台账信息进行筛选整合,得到待验证信息列表,初步筛选出可能受漏洞影响的系统范围,再基于待验证信息列表构建验证脚本信息,基于应用系统的镜像系统通过验证脚本信息进行验证,得到应用系统
的漏洞验证结果信息,实现后续进一步的验证,同时通过对已有的台账信息中的可能受漏洞影响的应用系统进行定向验证提升了验证效率,能够准确判断应用系统使用的漏洞组件版本是否受漏洞影响,再根据漏洞验证结果信息对台账信息进行更新,进一步确保了应用系统的安全资产信息的准确性。
[0026]如图1所示,本实施例的方法应用于自动化漏洞验证系统,所述自动化漏洞验证系统包括应用系统和应用系统的镜像系统;
[0027]所述方法包括:
[0028]步骤101,对所述应用系统进行检测,得到台账信息,并根据所述台账信息得到待验证信息列表。
[0029]在该步骤中,通过开源组件检测工具对应用系统进行检测得到台账信息,并根据台账信息得到待验证信息列表,初步筛选出可能受漏洞影响的系统范围。
[0030]例如应用系统包括A系统、B系统,A系统使用了组件a1.1.1、组件b1.1.1、组件Log4j2.14.0、组件d1.1.1,B系统使用了组件a2.2.2、组件b2.2.2、组件c2.2.2、组件d2.2.2,此时生成的台账信息如表1所示:
[0031]表1台账信息
[0032][0033]步骤102,基于所述待验证信息列表和所述应用系统的镜像系统进行验证,得到所述应用系统的漏洞验证结果信息,并根据所述漏洞验证本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种自动化漏洞验证方法,其特征在于,应用于自动化漏洞验证系统,所述自动化漏洞验证系统包括应用系统和应用系统的镜像系统;所述方法包括:对所述应用系统进行检测,得到台账信息,并根据所述台账信息得到待验证信息列表;基于所述待验证信息列表和所述应用系统的镜像系统进行验证,得到所述应用系统的漏洞验证结果信息,并根据所述漏洞验证结果信息对所述台账信息进行更新。2.根据权利要求1所述的方法,其特征在于,所述应用系统包括代码仓库;所述对所述应用系统进行检测,得到台账信息,包括:根据所述应用系统中所述代码仓库的源代码和所述自动化漏洞验证系统预先设置的漏洞库信息进行对比检测,得到所述台账信息。3.根据权利要求1所述的方法,其特征在于,所述台账信息包括下列至少之一:组件名称信息、组件版本信息、组件等级信息、代码仓信息、产品标识信息、推荐使用版本信息和漏洞分布信息。4.根据权利要求3所述的方法,其特征在于,所述组件等级信息包括危险信息和无漏洞信息,其中,所述危险信息包括超危信息、高危信息、中危信息和低危信息;所述根据所述台账信息得到待验证信息列表,包括:根据所述组件等级信息将属于所述超危信息、所述高危信息、所述中危信息和所述低危信息对应的组件等级信息的台账信息进行筛选整合,得到所述待验证信息列表。5.根据权利要求1所述的方法,其特征在于,所述基于所述待验证信息列表和所述应用系统的镜像系统进行验证,得到所述应用系统的漏洞验证结果信息,包括:基于所述待验证信息列表构建验证脚本...
【专利技术属性】
技术研发人员:赵佳萌,郭永冲,路向宇,
申请(专利权)人:中国人寿保险股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。