【技术实现步骤摘要】
开源组件安全漏洞处理方法和装置
[0001]本专利技术涉及计算机
,可用于金融领域,尤其涉及一种开源组件安全漏洞处理方法和装置。
技术介绍
[0002]随着互联网金融的兴起,开源组件在日常的开发应用中越来越广泛,开源组件是一类可应用于软件应用程序开发的第三方组件,它具有开放性、多元性和便捷性的特点。开发人员基于开源组件来开发软件应用程序可减少开发时间,提高开发效率,能够更快速地开发出软件应用程序。基于开源组件的特点,开始将开源组件应用于金融科技领域,以便为金融企业的开发人员提供更为便利的服务。
[0003]软件安全漏洞指的是在软件功能、性能方面具体实现以及安全策略上的缺陷,攻击者利用安全漏洞,可以在未授权的情况下访问软件系统、读取业务数据甚至破坏软件正常运行,造成重大损失。随着业务架构的日趋复杂、开源社区的发展以及各种技术框架的引入,软件研发过程中对开源软件的使用量大幅增加,相应地,由开源软件引入的安全漏洞也频繁出现。由于开源软件的通用性,使得攻击者利用开源漏洞的成本也在降低,安全形势日趋严峻。
[00...
【技术保护点】
【技术特征摘要】
1.一种开源组件安全漏洞处理方法,其特征在于,所述方法包括:扫描项目代码目录获取项目的开源组件信息;从漏洞披露平台获取前一日发布的开源组件漏洞舆情信息;将所述开源组件信息和所述开源组件漏洞舆情信息进行比对,获得比对结果一致的具有安全漏洞的待处理开源组件;基于所述待处理开源组件的漏洞影响依赖树来确定所述待处理开源组件的漏洞修复优先度;基于所述漏洞修复优先度修复所述待处理开源组件的安全漏洞。2.如权利要求1所述的开源组件安全漏洞处理方法,其特征在于,所述扫描项目代码目录获取项目的开源组件信息包括:利用持续化集成工具对接代码仓库,实现扫描项目代码目录获取项目的开源组件信息。3.如权利要求1所述的开源组件安全漏洞处理方法,其特征在于,所述的将所述开源组件信息和所述开源组件漏洞舆情信息进行比对包括:将所述开源组件信息及所述开源组件漏洞舆情信中开源组件的名称及版本号进行比对。4.如权利要求1所述的开源组件安全漏洞处理方法,其特征在于,所述获得比对结果一致的具有安全漏洞的待处理开源组件之后,所述方法还包括:提取所述待处理开源组件的依赖树建立信息;基于所述依赖树建立信息构建所述待处理开源组件的漏洞影响依赖树。5.如权利要求4所述的开源组件安全漏洞处理方法,其特征在于,所述的基于所述依赖树建立信息构建所述待处理开源组件的漏洞影响依赖树包括:以所述待处理开源组件的名称作为漏洞影响依赖树的根节点;基于依赖树建立信息中的各个信息构建漏洞影响依赖树的分支节点和叶子节点。6.如权利要求5所述的开源组件安全漏洞处理方法,其特征在于,所述的基于依赖树建立信息中的各个信息构建漏洞影响依赖树的分支节点和叶子节点包括:判断所述待处理开源组件是否为互联网应用,若为互联网应用则在根节点下建立左侧第一层分支节点,若为内网应用则在根节点下建立右侧第一层分支节点,若既为互联网应用又为内网应用,则在根节点下建立左右两侧第一层分支节点;判断所述待处理开源组件是否存在父组件,若存在父组件则在所述第一层分支节点下建立左侧第二层分支节点,若不存在父组件则在所述第一层分支节点下建立右侧第二层分支节点;判断所述待处理开源组件在项目代码中所占比例是否大于开源...
【专利技术属性】
技术研发人员:李杰一,曾炜,陈美伶,陈凌潇,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。