一种漏洞修复信息检索方法及电子设备技术

本申请提供了一种漏洞修复信息检索方法及电子设备，方法包括：从预先建立的漏洞基准数据库中，确定未受目标漏洞数据所影响的第三方依赖包的漏洞修复区间集合，漏洞基准数据库中包括目标漏洞数据所影响的第三方依赖包的版本区间，漏洞修复区间集合中包括第三方依赖包的版本的版本信息；根据漏洞修复区间集合和预先建立的第一映射数据集，确定漏洞修复区间集合所对应的代码提交信息的漏洞修复区间代码提交信息集合，第一映射数据集中包括第三方依赖包的各个版本信息与各个版本信息对应的代码提交信息之间的映射关系；根据目标漏洞数据和漏洞修复区间代码提交信息集合，确定目标漏洞数据对应的漏洞修复数据。由此，定位出漏洞对应的修复提交信息。洞对应的修复提交信息。洞对应的修复提交信息。

【技术实现步骤摘要】
一种漏洞修复信息检索方法及电子设备


[0001]本申请涉及计算机
，尤其涉及一种漏洞修复信息检索方法及电子设备。

技术介绍

[0002]随着计算机领域的不断发展，开源软件数量的不断增多，越来越多的开发者在其应用程序中直接引入开源代码(或第三方依赖库)，以加速其产品的迭代效率。伴随着这种开发效率的提升，引入安全风险的概率也在不断提高。为解决此类问题，软件成分分析应运而生，即通过对软件的组成进行分析，识别出软件中使用的开源和第三方组件(三方依赖库、框架等)，以进一步识别出应用程序引入的开源漏洞风险。
[0003]基于现在业界广泛采用的开发模式，在产品迭代的过程中，会在软件开发生命周期内实现针对应用程序的漏洞风险检测拦截管控。如识别出漏洞风险，则会反馈给开发者、运维者进行代码修复，待相关人员修复完成且检测无误后，执行发布上线等后续流程。
[0004]在此流程下，由于很多开发者并不具备安全工程知识的相关背景。因此，由开发者、运维者在没有任何修复参照信息的前提下，直接进行漏洞修复是非常困难的。并且，针对修复后的版本，需要通过自动化的本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种漏洞修复信息检索方法，其特征在于，所述方法包括：从预先建立的漏洞基准数据库中，确定未受目标漏洞数据所影响的第三方依赖包的漏洞修复区间集合，所述漏洞基准数据库中包括所述目标漏洞数据所影响的第三方依赖包的版本区间，所述漏洞修复区间集合中包括所述第三方依赖包的至少一个版本的版本信息；根据所述漏洞修复区间集合和预先建立的第一映射数据集，确定所述漏洞修复区间集合所对应的代码提交信息的漏洞修复区间代码提交信息集合，所述第一映射数据集中包括所述第三方依赖包的各个版本信息与各个所述版本信息对应的代码提交信息之间的映射关系；根据所述目标漏洞数据和所述漏洞修复区间代码提交信息集合，确定所述目标漏洞数据对应的漏洞修复数据。2.根据权利要求1所述的方法，其特征在于，所述根据所述目标漏洞数据和所述漏洞修复区间代码提交集合，确定所述目标漏洞数据对应的漏洞修复数据，具体包括：利用预先设置的代码提交信息的检索模板，对所述目标漏洞数据进行检索；若检索到第一代码提交信息，则判断所述第一代码提交信息是否存在于所述漏洞修复区间代码提交信息集合；若所述第一代码提交信息存在于所述漏洞修复区间代码提交信息集合，则将所述第一代码提交信息对应的的代码提交数据作为所述漏洞修复数据。3.根据权利要求1或2所述的方法，其特征在于，所述根据所述目标漏洞数据和所述漏洞修复区间代码提交信息集合，确定所述目标漏洞数据对应的漏洞修复数据，具体包括：利用预先设置的特征模板，对所述目标漏洞数据进行检索，得到所述目标漏洞数据中文本特征的第一标识集合，所述特征模板用于检索数据中的文本特征的标识信息，所述第一标识集合中包括至少一个标识信息；确定所述第一标识集合和所述第二标识集合中是否存在相同的目标标识，所述第二标识集合为利用所述特征模板对所述漏洞修复区间代码提交信息集合进行检索得到，所述第二标识集合中包括至少一个代码信息的文本特征的标识信息；若所述第一标识集合和所述第二标识集合中存在相同的目标标识，则将所述目标标识对应的代码提交数据作为所述漏洞修复数据。4.根据权利要求3所述的方法，其特征在于，所述特征模板中包括字母，数字，和/或符号。5.根据权利要求1－4任一所述的方法，其特征在于，所述根据所述目标漏洞数据和所述漏洞修复区间代码提交信息集合，确定所述目标漏洞数据对应的漏洞修复数据，具体包括：分别确定所述目标漏洞...

【专利技术属性】
技术研发人员：樊晨宇，王丁春，施泰龙，黄海兴，
申请(专利权)人：华为云计算技术有限公司，
类型：发明
国别省市：