本申请公开了一种组件安全分析方法、装置、终端设备以及存储介质,其组件安全分析方法包括:实时获取漏洞信息和组件版本信息;基于所述漏洞信息,分析漏洞的影响组件及其版本,得到待处理组件队列和/或漏洞队列;根据所述待处理组件队列、所述漏洞队列和/或所述组件版本信息进行组件安全分析,得到安全分析结果。本申请解决了开源组件安全分析不全面的问题,能够全面展示组件版本存在的漏洞。能够全面展示组件版本存在的漏洞。能够全面展示组件版本存在的漏洞。
【技术实现步骤摘要】
组件安全分析方法、装置、终端设备以及存储介质
[0001]本申请涉及开源组件安全分析
,尤其涉及一种组件安全分析方法、装置、终端设备以及存储介质。
技术介绍
[0002]针对开源组件安全的分析,就是分析开源组件是否存在漏洞风险。目前已存在许多漏洞库对漏洞影响范围进行分析,但是并无法直接判断某个开源组件的版本是否被影响,或者无法直接确定某个组件的版本存在哪些漏洞,故存在开源组件安全分析不全面的问题。
[0003]因此,有必要提出一种全面分析开源组件安全的解决方案。
技术实现思路
[0004]本申请的主要目的在于提供一种组件安全分析方法、装置、终端设备以及存储介质,旨在解决开源组件安全分析不全面的问题,全面展示组件版本存在的漏洞。
[0005]为实现上述目的,本申请提供一种组件安全分析方法,所述组件安全分析方法包括:
[0006]实时获取漏洞信息和组件版本信息;
[0007]基于所述漏洞信息,分析漏洞的影响组件及其版本,得到待处理组件队列和/或漏洞队列;
[0008]根据所述待处理组件队列、所述漏洞队列和/或所述组件版本信息进行组件安全分析,得到安全分析结果。
[0009]可选地,所述基于所述漏洞信息,分析漏洞影响的组件及其版本,得到待处理组件队列和/或漏洞队列的步骤包括:
[0010]基于所述漏洞信息,获取漏洞的影响组件及其版本范围;
[0011]将所述影响组件版本范围进行区间规范化,得到漏洞规范化影响区间;
[0012]将所述影响组件和所述漏洞规范化影响区间按照指定字段进行拆分,生成漏洞队列。
[0013]可选地,所述根据所述待处理组件队列、所述漏洞队列和/或所述组件版本信息进行组件安全分析,得到安全分析结果的步骤包括:
[0014]将所述待处理组件队列与所述漏洞队列进行漏洞匹配,得到匹配的漏洞,根据所述匹配的漏洞形成规范化的漏洞集合;
[0015]将所述待处理组件队列与所述组件版本信息进行版本匹配,得到待处理组件的组件版本;
[0016]结合所述规范化的漏洞集合与所述待处理组件的组件版本,判断所述匹配的漏洞是否影响到所述待处理组件的组件版本;
[0017]若影响到所述待处理组件的组件版本,则将所述匹配的漏洞添加至组件版本与漏
洞关系队列中;
[0018]获取所述组件版本与漏洞关系队列中所述组件版本所对应的所有漏洞的风险等级,将最高的风险等级设置为所述组件版本的风险等级;
[0019]根据所述组件版本对应的所有漏洞的所述风险等级,设置所述组件版本的风险描述,将得到的所述组件版本与漏洞关系队列、所述组件版本的风险等级和所述组件版本的风险描述作为所述安全分析结果。
[0020]可选地,所述基于所述漏洞信息,分析漏洞的影响组件及其版本,得到待处理组件队列和/或漏洞队列的步骤,还包括:
[0021]将获取到的所述影响组件添加至所述待处理组件队列中。
[0022]可选地,所述将获取到的所述影响组件添加至所述待处理组件队列中的步骤包括:
[0023]判断所述影响组件的属性;
[0024]若所述影响组件的属性为同一类别的影响组件,则提取所述同一类别的影响组件的组件特征;
[0025]根据所述组件特征将所述同一类别的影响组件拆分为单独的影响组件;
[0026]将所述单独的影响组件添加至所述待处理组件队列中;
[0027]若所述影响组件的属性为不同类别的影响组件,则执行步骤:将所述单独的影响组件添加至所述待处理组件队列中。
[0028]可选地,所述根据所述待处理队列、所述漏洞队列和/或所述组件版本信息进行组件安全分析,得到安全分析结果的步骤之后,还包括:
[0029]提供组件展示页面,其中,所述组件展示页面用于展示组件基本信息以及提供点击进入安全分析结果展示页面的通道;
[0030]若检测到用户点击所述组件展示页面产生的点击信号时,进入所述安全分析结果展示页面。
[0031]可选地,所述实时获取漏洞信息和组件版本信息的步骤包括:
[0032]从开源漏洞库实时获取所述漏洞信息;
[0033]从开源社区实时获取所述组件版本信息。
[0034]本申请实施例还提出一种组件安全分析装置,所述组件安全分析装置包括:
[0035]信息获取模块,用于实时获取漏洞信息和组件版本信息;
[0036]漏洞分析模块,用于基于所述漏洞信息,分析漏洞影响的组件及其版本,得到待处理组件队列和/或漏洞队列;
[0037]安全分析模块,用于根据所述待处理队列、所述漏洞队列和/或所述组件版本信息进行组件安全分析,得到安全分析结果。
[0038]本申请实施例还提出一种终端设备,所述终端设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的组件安全分析程序,所述组件安全分析程序被所述处理器执行时实现如上所述的组件安全分析方法的步骤。
[0039]本申请实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有组件安全分析程序,所述组件安全分析程序被处理器执行时实现如上所述的组件安全分析方法的步骤。
[0040]本申请实施例提出的组件安全分析方法、装置、终端设备以及存储介质,通过实时获取漏洞信息和组件版本信息;基于所述漏洞信息,分析漏洞的影响组件及其版本,得到待处理组件队列和/或漏洞队列;根据所述待处理组件队列、所述漏洞队列和/或所述组件版本信息进行组件安全分析,得到安全分析结果。通过获取到的漏洞信息分析漏洞的影响组件及其版本,能够达到快速判断漏洞所影响的具体组件版本的目的;通过结合待处理组件队列和漏洞队列,以及获取到的组件版本信息进行组件安全分析,可以得到组件的安全分析结果,并通过安全分析结果全面的展示组件版本存在的漏洞信息。本申请方案,基于漏洞影响范围来分析开源组件安全,解决了开源组件安全分析不全面的问题,实现全面展示组件版本存在的漏洞。
附图说明
[0041]图1为本申请组件安全分析装置所属终端设备的功能模块示意图;
[0042]图2为本申请组件安全分析方法第一示例性实施例的流程示意图;
[0043]图3为本申请组件安全分析方法第二示例性实施例的流程示意图;
[0044]图4为本申请组件安全分析方法第二示例性实施例涉及的得到安全分析结果的具体流程示意图;
[0045]图5为本申请组件安全分析方法第三示例性实施例涉及的将获取到的所述影响组件添加至所述待处理组件队列中的具体流程示意图;
[0046]图6为本申请组件安全分析方法第四示例性实施例的流程示意图。
[0047]本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
[0048]应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
[0049]本申请实施例的主要解决方案是:通本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种组件安全分析方法,其特征在于,所述组件安全分析方法包括:实时获取漏洞信息和组件版本信息;基于所述漏洞信息,分析漏洞的影响组件及其版本,得到待处理组件队列和/或漏洞队列;根据所述待处理组件队列、所述漏洞队列和/或所述组件版本信息进行组件安全分析,得到安全分析结果。2.根据权利要求1所述的组件安全分析方法,其特征在于,所述基于所述漏洞信息,分析漏洞影响的组件及其版本,得到待处理组件队列和/或漏洞队列的步骤包括:基于所述漏洞信息,获取漏洞的影响组件及其版本范围;将所述影响组件版本范围进行区间规范化,得到漏洞规范化影响区间;将所述影响组件和所述漏洞规范化影响区间按照指定字段进行拆分,生成漏洞队列。3.根据权利要求2所述的组件安全分析方法,其特征在于,所述根据所述待处理组件队列、所述漏洞队列和/或所述组件版本信息进行组件安全分析,得到安全分析结果的步骤包括:将所述待处理组件队列与所述漏洞队列进行漏洞匹配,得到匹配的漏洞,根据所述匹配的漏洞形成规范化的漏洞集合;将所述待处理组件队列与所述组件版本信息进行版本匹配,得到待处理组件的组件版本;结合所述规范化的漏洞集合与所述待处理组件的组件版本,判断所述匹配的漏洞是否影响到所述待处理组件的组件版本;若影响到所述待处理组件的组件版本,则将所述匹配的漏洞添加至组件版本与漏洞关系队列中;获取所述组件版本与漏洞关系队列中所述组件版本所对应的所有漏洞的风险等级,将最高的风险等级设置为所述组件版本的风险等级;根据所述组件版本对应的所有漏洞的所述风险等级,设置所述组件版本的风险描述,将得到的所述组件版本与漏洞关系队列、所述组件版本的风险等级和所述组件版本的风险描述作为所述安全分析结果。4.根据权利要求3所述的组件安全分析方法,其特征在于,所述基于所述漏洞信息,分析漏洞的影响组件及其版本,得到待处理组件队列和/或漏洞队列的步骤,还包括:将获取到的所述影响组件添加至所述待处理组件队列中。5.根据权利要求4所述的组件安全分析方法,其特征在于,所述将获...
【专利技术属性】
技术研发人员:万振华,
申请(专利权)人:深圳开源互联网安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。