【技术实现步骤摘要】
开源软件安全基线检测方法、装置及系统
[0001]本公开涉及网络安全
,尤其是一种开源软件安全基线检测方法、装置及系统。
技术介绍
[0002]为检测网络系统的危险防御能力,可以检测网络系统是否满足安全基线要求,以确定网络系统是否能够提供安全的网络服务。
[0003]随着开源软件在云原生领域中的网络系统上的大面积使用,开源软件带来的安全问题也日益严重,威胁着网络系统的安全。
技术实现思路
[0004]专利技术人注意到,相关技术中,开源软件的安全基线检测一般停留在对开源软件服务部署目录中的配置项信息的静态检测,以及对中间件的检测,导致安全基线检测的检出率较低、准确率较低。
[0005]为了解决上述问题,本公开实施例提出了如下解决方案。
[0006]根据本公开实施例的一方面,提供一种开源软件安全基线检测方法,包括:获取用于判断所述开源软件是否满足开源软件安全基线的要求的信息,所述信息包括所述开源软件的服务进程运行过程中的运行信息,所述运行信息包括下述信息中的至少之一:依赖组件信息、配...
【技术保护点】
【技术特征摘要】
1.一种开源软件安全基线检测方法,包括:获取用于判断所述开源软件是否满足开源软件安全基线的要求的信息,所述信息包括所述开源软件的服务进程运行过程中的运行信息,所述运行信息包括下述信息中的至少之一:依赖组件信息、配置项信息、函数调用信息。2.根据权利要求1所述的方法,其中,所述运行信息通过在所述服务进程中插装的与所述服务进程同步启动的代理获取。3.根据权利要求1所述的方法,其中,所述函数调用信息包括被调用函数的代码。4.根据权利要求1所述的方法,其中,所述函数调用信息包括被调用函数的自变量和因变量。5.根据权利要求1所述的方法,其中,所述配置项信息包括配置项的类型和取值。6.根据权利要求1所述的方法,其中,所述依赖组件信息包括所述开源软件的外部的依赖组件信息和所述开源软件的内部的依赖组件信息。7.根据权利要求2所述的方法,其中,所述信息还包括通过所述代理获取的所述开源软件的指纹信息。8.根据权利要求7所述的方法,其中,所述指纹信息包括以下至少之一:软件包、版本、应用程序编程接口特征、哈希值。9.根据权利要求1
‑
8任意一项所述的方法,还包括:在所述运行信息包括所述函数调用信息的情况下,将所述函数调用信息与开源软件漏洞信息库进行比对以获取所述开源软件的漏洞信息;将所述漏洞信息与开源软件安全基线库进行比对以判断所述开源软件是否满足开源软件安全基线的要求。10.根据权...
【专利技术属性】
技术研发人员:游耀东,郝晓宇,杜晨,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。