CVE漏洞安全数据库的生成方法、装置、介质及电子设备制造方法及图纸

本发明专利技术提供了一种CVE漏洞安全数据库的生成方法、装置、介质及电子设备。CVE漏洞安全数据库的生成方法包括：确定目标软件仓库中的各个组件；从外部数据平台查找各个组件的已知CVE漏洞；获取已知CVE漏洞对应的参考实现；应用参考实现，保存应用成功的参考实现的相关记录至CVE漏洞安全数据库。该方法能够应用于不同类型的产品中进行CVE漏洞信息的实时监测以便于进行管理，应用的灵活度高，且该方法的自动化程度高、得到的监测结果准确度高。得到的监测结果准确度高。得到的监测结果准确度高。

【技术实现步骤摘要】
CVE漏洞安全数据库的生成方法、装置、介质及电子设备


[0001]本专利技术涉及数据检测
，尤其涉及一种CVE漏洞安全数据库的生成方法、装置、介质及电子设备。

技术介绍

[0002]CVE是漏洞披露(Common Vulnerabilities and Exposures)的英文缩写，列出了已公开披露的各种计算机安全缺陷。人们提到CVE，指的都是已分配漏洞标识的安全缺陷。
[0003]CVE所披露的漏洞条目非常简短，条目中既没有技术数据，也不包含与风险、影响和修复有关的信息。这些详细信息会收录在其他数据库中，包括美国国家漏洞数据库(NVD)、美国计算机紧急事件响应小组协调中心(CERT/CC)的漏洞注释数据库以及由供应商和其他组织维护的各种列表。用户通过漏洞标识跨上述不同系统来简便地识别同一个安全缺陷。
[0004]对于一个软件平台，通常需要对软件平台所涉及到的组件，被集成到版本中的组件有多少漏洞，哪些已经修复，修复的来源是什么这些信息进行管理。现有技术中，虽然Linux社区，RedHat,Suse，Oracle等Linux发行版支持在yum(一种软件包管理器)上添加安全插件，通过安全插件统计所有安全相关的升级和修复。但是，这是针对包管理装置进行的安全漏洞的修复统计，统计是依据每个组件规范化的修改记录来进行登记的，并不能主动发现有哪些组件，有哪些漏洞，人工干预程度较高，自动化程度低，容易出现纰漏；并且，需要依赖包管理装置存储信息才能实现，不适用于没有使用包管理装置的平台，应用的局限性大。因此，需要提供一种新的CVE漏洞的监测方法以解决上述问题。

技术实现思路

[0005]本专利技术的目的在于提供一种CVE漏洞安全数据库的生成方法、装置、介质及电子设备，用以改善现有技术中CVE漏洞信息管理困难的问题。
[0006]第一方面，本专利技术所提供的CVE漏洞安全数据库的生成方法包括：确定目标软件仓库中的各个组件；从外部数据平台查找所述各个组件的已知CVE漏洞；获取所述已知CVE漏洞对应的参考实现；应用所述参考实现，保存应用成功的参考实现的相关记录至CVE漏洞安全数据库。
[0007]本专利技术提供的方法的有益效果在于：可以应用于不同类型的产品中进行CVE漏洞信息的实时监测以便于进行管理，该方法自动化程度高、得到的结果准确度高。得到的监测结果既可以在产品内部集成发布安全数据库，也可以不集成在产品内部而放置在外部，应用的灵活度高。
[0008]一种可能的实施例中，所述确定目标软件仓库中的各个组件，包括：
[0009]获取所述目标软件仓库中的组件的对应信息，所述组件的对应信息包括：提交标识、组件版本号、修订版号、组件名称；
[0010]根据所述目标软件仓库中的组件的组件名称、组件版本号、修订版号在外部数据
平台中查找以匹配所述外部数据平台中对应的组件名称和组件版本号、修订版号；
[0011]根据在所述外部数据平台匹配到的组件名称和组件版本号、修订版号获取外部组件数据；
[0012]比较所述外部组件数据的提交标识、组件名称、组件版本号、修订版号是否和所述目标软件仓库中的组件的提交标识、组件名称、组件版本号、修订版号一致，以确定所述目标软件仓库中的各个组件。
[0013]另一种可能的实施例中，所述从外部数据平台查找所述各个组件的已知CVE漏洞，包括：
[0014]在所述各个组件中查找提交次序早于等于当前提交的最近记录，得到组件版本的对应信息，所述组件版本的对应信息包括组件名称、版本号和修订版号；
[0015]根据所述组件名称在外部数据平台查找与所述组件名称关联的已知CVE漏洞的漏洞标识，判断所述漏洞标识对应的组件的版本号、修订版号的范围是否与所述组件的版本号、修订版号的范围匹配，以得到所述各个组件的已知CVE漏洞。
[0016]其他可能的实施例中，所述获取所述已知CVE漏洞对应的参考实现，包括：
[0017]根据所述已知CVE漏洞的漏洞标识，查找所述目标软件仓库的原生衍生仓库中是否存在预设的参考实现；
[0018]若存在预设的参考实现，则获取与所述漏洞标识对应的预设的参考实现，若不存在预设的参考实现，则根据所述漏洞标识在外部数据平台中获取对应的参考实现。
[0019]所述应用所述参考实现，保存应用成功的参考实现的相关记录至CVE漏洞安全数据库，包括：
[0020]逐个取出所述已知CVE漏洞的漏洞标识及对应的参考实现；
[0021]应用取出的参考实现；
[0022]若应用结果为失败，则退出应用并对参考实现进行修改，然后重新应用修改后的参考实现；
[0023]若应用结果为成功，则保存应用成功的参考实现的相关记录至CVE漏洞安全数据库。
[0024]所述CVE漏洞安全数据库的生成方法可能还包括：
[0025]根据所述应用成功的参考实现的提交标识及补丁的校验和，在所述目标软件仓库中查找是否有相匹配的信息，包括：
[0026]查找所述目标软件仓库的当前提交或之前提交的提交标识是否与所述应用成功的参考实现的提交标识匹配，或，查找所述目标软件仓库中被应用的补丁是否与所述应用成功的参考实现记录的补丁的校验和一致。
[0027]第二方面，本专利技术还提供了一种CVE漏洞安全数据库的生成装置，所述装置包括：
[0028]组件确定单元，用于确定目标软件仓库中的各个组件；
[0029]查找单元，用于从外部数据平台查找所述各个组件的已知CVE漏洞；
[0030]参考实现生成单元，用于获取所述已知CVE漏洞对应的参考实现；
[0031]应用单元，用于应用所述参考实现，保存应用成功的参考实现的相关记录至CVE漏洞安全数据库。
[0032]所述组件确定单元确定目标软件仓库中的各个组件，具体用于：
[0033]获取所述目标软件仓库中的组件的对应信息，所述组件的对应信息包括：提交标识、组件版本号、修订版号、组件名称；
[0034]根据所述目标软件仓库中的组件的组件名称、组件版本号、修订版号在外部数据平台中查找以匹配所述外部数据平台中对应的组件名称和组件版本号、修订版号；
[0035]根据在所述外部数据平台匹配到的组件名称和组件版本号、修订版号获取外部组件数据；
[0036]比较所述外部组件数据的提交标识、组件名称、组件版本号、修订版号是否和所述目标软件仓库中的组件的提交标识、组件名称、组件版本号、修订版号一致，以确定所述目标软件仓库中的各个组件。
[0037]所述查找单元从外部数据平台查找所述各个组件的已知CVE漏洞，具体用于：
[0038]在所述各个组件中查找提交次序早于等于当前提交的最近记录，得到组件版本的对应信息，所述组件版本的对应信息包括组件名称、版本号和修订版号；
[0039]根据所述组件名称在外部数据平台查找与所述组件名称关联的已知CVE漏洞的漏洞标识，判断所述漏洞标识对应的组件的版本号、修订版号本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种CVE漏洞安全数据库的生成方法，其特征在于，所述方法包括：确定目标软件仓库中的各个组件；从外部数据平台查找所述各个组件的已知CVE漏洞；获取所述已知CVE漏洞对应的参考实现；应用所述参考实现，保存应用成功的参考实现的相关记录至CVE漏洞安全数据库。2.根据权利要求1所述的方法，其特征在于，所述确定目标软件仓库中的各个组件，包括：获取所述目标软件仓库中的组件的对应信息，所述组件的对应信息包括：提交标识、组件版本号、修订版号、组件名称；根据所述目标软件仓库中的组件的组件名称、组件版本号、修订版号在外部数据平台中查找以匹配所述外部数据平台中对应的组件名称和组件版本号、修订版号；根据在所述外部数据平台匹配到的组件名称和组件版本号、修订版号获取外部组件数据；比较所述外部组件数据的提交标识、组件名称、组件版本号、修订版号是否和所述目标软件仓库中的组件的提交标识、组件名称、组件版本号、修订版号一致，以确定所述目标软件仓库中的各个组件。3.根据权利要求1所述的方法，其特征在于，所述从外部数据平台查找所述各个组件的已知CVE漏洞，包括：在所述各个组件中查找提交次序早于等于当前提交的最近记录，得到组件版本的对应信息，所述组件版本的对应信息包括组件名称、版本号和修订版号；根据所述组件名称在外部数据平台查找与所述组件名称关联的已知CVE漏洞的漏洞标识，判断所述漏洞标识对应的组件的版本号、修订版号的范围是否与所述组件的版本号、修订版号的范围匹配，以得到所述各个组件的已知CVE漏洞。4.根据权利要求1所述的方法，其特征在于，所述获取所述已知CVE漏洞对应的参考实现，包括：根据所述已知CVE漏洞的漏洞标识，查找所述目标软件仓库的原生衍生仓库中是否存在预设的参考实现；若存在预设的参考实现，则获取与所述漏洞标识对应的预设的参考实现，若不存在预设的参考实现，则根据所述漏洞标识在外部数据平台中获取对应的参考实现。5.根据权利要求1所述的方法，其特征在于，所述应用所述参考实现，保存应用成功的参考实现的相关记录至CVE漏洞安全数据库，包括：逐个取出所述已知CVE漏洞的漏洞标识及对应的参考实现；应用取出的参考实现；若应用结果为失败，则退出应用并对参考实现进行修改，然后重新应用修改后的参考实现；若应用结果为成功，则保存应用成功的参考实现的相关记录至CVE漏洞安全数据库。6.根据权利要求1所述的方法，其特征在于，还包括：根据所述应用成功的参考实现的提交标识及补丁的校验和，在所述目标软件仓库中查找是否有相匹配的信息，包括：
查找所述目标软件仓库的当前提交或之前提交的提交标识是否与所述应用成功的参考实现的提交标识匹配，或，查找所述目标软件仓库中被应用的补丁是否与所述应用成功的参考实现记录的补丁的校验和一致。7.一种CVE漏洞安全数据库的生成装置，其特征在于，包括：组件确定单元，用于确定目标软件仓库中的各个组件；查找单元，用于从外部数据平台查找所述各个组件的已知CVE漏洞；参考实现生成单元，用于获取所述已知CVE漏洞对应的参考实现；应用单元，用于应用所述参考实现，保存应用成功...

【专利技术属性】
技术研发人员：谢竑，刘伟，
申请(专利权)人：展讯通信上海有限公司，
类型：发明
国别省市：