一种第三方组件的检测方法、系统、电子设备及存储介质技术方案

本说明书实施例提供了一种第三方组件的检测方法、系统、电子设备及存储介质，其中，第三方组件的检测方法在本地节点预先存储了包括漏洞数据库和白名单数据库的第一预设数据库，使得该方法在获取了项目配置信息，并解析获得第三方组件信息之后，可以综合漏洞和白名单漏洞对第三方安全组件的影响，实现对第三方组件漏洞的综合检测，同时该方法将漏洞检测的任务下放到本地节点进行，降低了服务器节点的压力，也可以使对第三方组件的检测过程提前到开发阶段，避免在项目上线阶段进行第三方组件检测可能导致的上线阻断问题。检测可能导致的上线阻断问题。检测可能导致的上线阻断问题。

【技术实现步骤摘要】
一种第三方组件的检测方法、系统、电子设备及存储介质


[0001]本说明书涉及计算机应用
，更具体地说，涉及一种第三方组件的检测方法、系统、电子设备及存储介质。

技术介绍

[0002]随着计算机技术的不断发展，单个程序项目的规模越来越庞大，程序模块化是提高程序编写效率的一项重要技术。
[0003]程序模块(Program Module)是指可由汇编程序、编译程序、装入程序或翻译程序作为一个整体来处理的一级独立的、可识别的程序指令，通常情况下，程序模块是大型程序的一部分，目前的程序模块多以组件(Component)的方式体现。随着开源、共享理念的流行，第三方组件在程序项目开发中的应用越来越普遍。
[0004]虽然第三方组件给程序项目开发带来了极大的便利，但第三方组件中可能存在的安全问题仍然需要重点关注，因此，如何对第三方组件进行检测逐渐成为关注的重点问题。

技术实现思路

[0005]为解决上述技术问题，本说明书提供了一种第三方组件的检测方法、系统、电子设备及存储介质，以实现对第三方组件进行安全检测的目的。
[0006]为实现上述技术目的，本说明书实施例提供了如下技术方案：
[0007]第一方面，本说明书提供了一种第三方组件的检测方法，应用于服务器网络中的本地节点，所述本地节点存储有第一预设数据库，所述第一预设数据库包括漏洞数据库和白名单数据库，所述漏洞数据库包括第三方组件信息与漏洞的对应关系，所述白名单数据库包括第三方组件信息与白名单漏洞的对应关系，所述第三方组件的检测方法包括：
[0008]获取项目配置信息，所述项目配置信息包括项目基本信息和第三方组件依赖包文件；
[0009]利用与所述项目基本信息匹配的包管理工具，解析所述第三方组件依赖包文件，以获得第三方组件信息；
[0010]将所述第三方组件信息与所述第一预设数据库进行匹配，以得到匹配结果，所述匹配结果用于表征所述第三方组件信息与所述漏洞数据库中的漏洞的匹配情况以及与所述白名单数据库中的白名单漏洞的匹配情况，根据所述匹配结果，生成安全检测结果。
[0011]第二方面，本说明书实施例提供了一种第三方组件的检测方法，应用于服务器网络中的服务器节点，所述第三方组件的检测方法包括：
[0012]响应于所述服务器网络中的本地节点的同步请求，将所述服务器节点中存储的第二预设数据库同步给所述本地节点，以使所述本地节点基于所述第二预设数据库，生成第一预设数据库，并将所述本地节点解析获得的第三方组件信息与所述第一预设数据库进行匹配，以得到匹配结果，根据所述匹配结果，生成安全检测结果，所述匹配结果用于表征所述第三方组件信息与所述漏洞数据库中的漏洞的匹配情况以及与所述白名单数据库中的
白名单漏洞的匹配情况。
[0013]第三方面，本说明书实施例提供了一种第三方组件的检测装置，应用于服务器网络中的本地节点，所述本地节点存储有第一预设数据库，所述第一预设数据库包括漏洞数据库和白名单数据库，所述漏洞数据库包括第三方组件信息与漏洞的对应关系，所述白名单数据库包括第三方组件信息与白名单漏洞的对应关系，所述第三方组件的检测装置包括：
[0014]配置获取模块，用于获取项目配置信息，所述项目配置信息包括项目基本信息和第三方组件依赖包文件；
[0015]组件解析模块，用于利用与所述项目基本信息匹配的包管理工具，解析所述第三方组件依赖包文件，以获得第三方组件信息；
[0016]漏洞匹配模块，用于将所述第三方组件信息与所述第一预设数据库进行匹配，以得到匹配结果，所述匹配结果用于表征所述第三方组件信息与所述漏洞数据库中的漏洞的匹配情况以及与所述白名单数据库中的白名单漏洞的匹配情况，根据所述匹配结果，生成安全检测结果。
[0017]第四方面，本说明书实施例提供了一种第三方组件的检测装置，应用于服务器网络中的服务器节点，所述第三方组件的检测装置包括：
[0018]同步模块，用于响应于所述服务器网络中的本地节点的同步请求，将所述服务器节点中存储的第二预设数据库同步给所述本地节点，以使所述本地节点基于所述第二预设数据库，生成第一预设数据库，并将所述本地节点解析获得的第三方组件信息与所述第一预设数据库进行匹配，以得到匹配结果，根据所述匹配结果，生成安全检测结果，所述匹配结果用于表征所述第三方组件信息与所述漏洞数据库中的漏洞的匹配情况以及与所述白名单数据库中的白名单漏洞的匹配情况。
[0019]第五方面，本说明书实施例提供了一种第三方组件的检测系统，包括服务器节点和本地节点构成的服务器网络，其中，
[0020]所述服务器网络，用于响应于所述服务器网络中的本地节点的同步请求，将所述服务器节点中存储的第二预设数据库同步给所述本地节点，以使所述本地节点基于所述第二预设数据库，生成第一预设数据库，所述第一预设数据库包括漏洞数据库和白名单数据库，所述漏洞数据库包括第三方组件信息与漏洞的对应关系，所述白名单数据库包括第三方组件信息与白名单漏洞的对应关系；
[0021]所述本地节点，用于获取项目配置信息，所述项目配置信息包括项目基本信息和第三方组件依赖包文件，利用与所述项目基本信息匹配的包管理工具，解析所述第三方组件依赖包文件，以获得第三方组件信息，将所述第三方组件信息与所述第一预设数据库进行匹配，以得到匹配结果，所述匹配结果用于表征所述第三方组件信息与所述漏洞数据库中的漏洞的匹配情况以及与所述白名单数据库中的白名单漏洞的匹配情况，根据所述匹配结果，生成安全检测结果。
[0022]第六方面，本说明书实施例还提供了一种电子设备，包括：存储器和处理器；
[0023]其中，所述存储器与所述处理器连接，所述存储器用于存储程序；
[0024]所述处理器，用于通过运行所述存储中存储的程序，实现如上述任一项所述的第三方组件的检测方法。
[0025]第七方面，本说明书实施例提供了一种存储介质，所述存储介质上存储有计算机程序，所述计算机程序被处理器运行时，实现如上述任一项所述的第三方组件的检测方法。
[0026]第八方面，本说明书实施例提供了一种计算机程序产品或计算机程序，所述计算机程序产品或计算机程序包括计算机指令，所述计算机指令存储在计算机可读存储介质中；所述计算机设备的处理器从所述计算机可读存储介质读取所述计算机指令，所述处理器执行所述计算机指令时实现上述的第三方组件的检测方法的步骤。
[0027]从上述技术方案可以看出，本说明书实施例提供了一种第三方组件的检测方法、系统、电子设备及存储介质，其中，所述第三方组件的检测方法在本地节点预先存储了包括漏洞数据库和白名单数据库的第一预设数据库，使得该方法在获取了项目配置信息，并解析获得第三方组件信息之后，可以综合漏洞和白名单漏洞对第三方安全组件的影响，实现对第三方组件漏洞的综合检测，同时该方法将漏洞检测的任务下放到本地节点进行，降低了服务器节点的压力，也可以使对第三方组件的检测过程提前到开发阶段，避免在项目上线阶段本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种第三方组件的检测方法，其特征在于，应用于服务器网络中的本地节点，所述本地节点存储有第一预设数据库，所述第一预设数据库包括漏洞数据库和白名单数据库，所述漏洞数据库包括第三方组件信息与漏洞的对应关系，所述白名单数据库包括第三方组件信息与白名单漏洞的对应关系，所述第三方组件的检测方法包括：获取项目配置信息，所述项目配置信息包括项目基本信息和第三方组件依赖包文件；利用与所述项目基本信息匹配的包管理工具，解析所述第三方组件依赖包文件，以获得第三方组件信息；将所述第三方组件信息与所述第一预设数据库进行匹配，以得到匹配结果，所述匹配结果用于表征所述第三方组件信息与所述漏洞数据库中的漏洞的匹配情况以及与所述白名单数据库中的白名单漏洞的匹配情况；根据所述匹配结果，生成安全检测结果。2.根据权利要求1所述的方法，其特征在于，所述将所述第三方组件信息与所述第一预设数据库进行匹配，以得到匹配结果包括：若所述第三方组件信息与所述漏洞数据库中的漏洞相匹配，则将与所述漏洞匹配的第三方组件信息作为风险第三方组件信息，所述风险第三方组件信息用于表征对应的第三方组件存在安全风险；若所述风险第三方组件信息与所述白名单数据库中的白名单漏洞相匹配，则将与所述白名单漏洞相匹配的风险第三方组件信息删除。3.根据权利要求2所述的方法，其特征在于，所述白名单数据库还包括：所述漏洞与帮助信息的对应关系，所述帮助信息用于表征所述漏洞的基本信息和/或所述漏洞的修复建议信息；所述若所述风险第三方组件信息与所述白名单数据库中的白名单漏洞相匹配，则将与所述白名单漏洞相匹配的风险第三方组件信息删除之后，所述方法还包括：若目标漏洞与所述白名单数据库中的帮助信息对应，则得到所述目标漏洞的帮助信息，所述目标漏洞包括与目标风险第三方组件信息相匹配的漏洞，所述目标风险第三方组件信息为除与所述白名单漏洞相匹配的风险第三方组件信息之外的其他风险第三方组件信息。4.根据权利要求3所述的方法，其特征在于，所述根据所述匹配结果，生成安全检测结果包括：根据与所述风险第三方组件信息相匹配的白名单漏洞、所述目标风险第三方组件信息以及所述目标漏洞的帮助信息，生成安全检测结果。5.根据权利要求1所述的方法，其特征在于，若所述第三方组件信息为多个；所述将所述第三方组件信息与所述第一预设数据库进行匹配，以得到匹配结果包括：若所述第三方组件信息的数量大于所述漏洞数据库中的漏洞数量，则以所述第三方组件信息为外循环、所述漏洞数据库中的漏洞为内循环进行漏洞循环匹配；若所述第三方组件信息的数量小于所述漏洞数据库中的漏洞数量，则以所述漏洞数据库中的漏洞为外循环、所述第三方组件信息为内循环进行漏洞循环匹配；若所述第三方组件信息的数量大于所述白名单数据库中的白名单漏洞数量，则以所述第三方组件信息为外循环、所述白名单数据库中的白名单漏洞为内循环进行白名单漏洞循
环匹配；若所述第三方组件信息的数量小于所述白名单数据库中的白名单漏洞数量，则以所述白名单数据库中的白名单漏洞为外循环、所述第三方组件信息为内循环进行白名单漏洞循环匹配。6.根据权利要求1所述的方法，其特征在于，所述将所述第三方组件信息与所述第一预设数据库进行匹配，以得到匹配结果包括：利用所述第三方组件信息，在所述漏洞数据库和所述白名单数据库中分别进行匹配，以获得漏洞匹配结果和白名单漏洞匹配结果；根据所述漏洞匹配结果和所述白名单漏洞匹配结果，得到与所述漏洞数据库中的漏洞相对应，且不与所述白名单数据库中的白名单漏洞相对应的第三方组件信息；将得到的第三方组件信息作为风险第三方组件信息，所述风险第三方组件信息用于表征对应的第三方组件存在安全风险。7.根据权利要求1
‑
6任一项所述的方法，其特征在于，所述利用与所述项目基本信息匹配的包管理工具，解析所述第三方组件依赖包文件，以获得第三方组件信息包括：解析所述项目基本信息，得到项目使用的...

【专利技术属性】
技术研发人员：张力，曾琳铖曦，杨颖，吴海英，蒋宁，陈晓旭，
申请(专利权)人：马上消费金融股份有限公司，
类型：发明
国别省市：