【技术实现步骤摘要】
面向开源软件供应链的无CVE漏洞智能预警方法及电子设备
[0001]本专利技术属于计算机科学与
,涉及一种面向开源软件供应链的无CVE漏洞智能预警方法及电子设备。
技术介绍
[0002]开源软件供应链是一个实际业务系统,在开发和运行过程中,涉及的所有开源软件上游社区(Upstream)、源码包(Source)、二进制包(Binary)、包管理器(PackageManager)、存储仓库(Repository),以及开发者(Developer)和维护者(Maintainer)、社区(Community)、基金会(Foundation)等、按照依赖(Depend)、打包(Package)、构建(Build)、托管(Host)、协作(Collaborate)、指导(Guide)等关系形成的供应链网络。开源软件供应链和我国国民生活、城市建设、工业生产等息息相关,影响着智能家居、汽车、智能电网等众多关键基础设施的开发和管理。然而随着开源软件供应链体系越来越庞大,威胁风险的渗入点不断增多,分布在开源软件供应链的各个环节。安全漏洞是...
【技术保护点】
【技术特征摘要】
1.一种面向开源软件供应链的无CVE漏洞智能预警方法,其特征在于,所述方法包括:获取用于修复软件漏洞的相关安全代码的日志文本和代码信息;基于所述代码信息中的添加代码内容和删除代码内容,得到修改向量表示,并根据所述修改向量表示,计算所述相关安全代码为无CVE漏洞代码的第一概率;通过对所述日志文本进行分类,得到所述相关安全代码为无CVE漏洞代码的第二概率;基于所述第一概率和所述第二概率,计算所述相关安全代码的无CVE漏洞预警结果。2.如权利要求1所述的方法,其特征在于,所述基于所述代码信息中的添加代码内容和删除代码内容,得到修改向量表示,包括:结合所述相关安全代码对应的文件,获取所述代码信息中的添加代码内容和删除代码内容;基于BPE算法,分别获取所述添加代码内容和删除代码内容的字符序列;将每一文件的所述添加代码内容和删除代码内容的字符序列分别进行拼接,得到各文件的添加代码内容拼接结果和删除代码内容拼接结果;将各文件的添加代码内容拼接结果和删除代码内容拼接结果分别输入两个并行的CodeBERT模型,获得所述相关安全代码的添加代码内容和删除代码内容的向量编码;对添加代码内容和删除代码内容的向量编码进行拼接,得到修改向量表示。3.如权利要求2所述的方法,其特征在于,所述基于BPE算法,分别获取所述添加代码内容和删除代码内容的字符序列,还包括:对所述代码信息中的注释内容进行判断清洗。4.如权利要求2所述的方法,其特征在于,所述将各文件的添加代码内容拼接结果输入CodeBERT模型,获得所述相关安全代码的添加代码内容的向量编码,包括:将添加代码内容拼接结果输入CodeBERT模型,以得到[CLS]对应的向量生成结果[CES];对各文件的向量生成结果[C...
【专利技术属性】
技术研发人员:崔星,吴敬征,罗天悦,武延军,
申请(专利权)人:中国科学院软件研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。