一种开源软件调用请求处理方法、设备、介质技术

本发明专利技术涉及一种开源软件调用请求处理方法、设备、介质，所述方法包括如下步骤：获取开源软件调用请求，判断请求的软件是否再预置的白名单内且符合调用条件；在开源软件使用过程中，通过与CICD系统连接的接口获取预设格式匹配的开源软件依赖组件下载请求信息，判断软件依赖是否在白名单内，实现软件依赖的下载认证，其中，开源软件依赖组件下载请求信息通过依赖树获取；通过对白名单内的开源软件进行包括引入、使用中、不再新增、基线设定和退出的全生命周期管理，实现对开源软件的全生命周期精准管控。本发明专利技术通过开源精准管控软件，完成开源软件治理流程、自动化流程检测、开源软件信息库、权限菜单管理等功能，实现开源治理统一收口。收口。收口。

【技术实现步骤摘要】
一种开源软件调用请求处理方法、设备、介质


[0001]本专利技术涉及计算机
，尤其是涉及一种开源软件调用请求处理方法、设备、介质。

技术介绍

[0002]开源软件精准管控主要是围绕开源软件引入、使用、生命周期、漏洞处理四个方面对开源软件进行全方位管控。
[0003]技术上，采用了微服务架构和状态机审批流，实现对开源软件的统一纳管。并通过开源软件名单方式做到对开源软件使用的精准管理，在软件依赖下载时，先判断软件是否在名单及对具体项目对软件的使用管控，如果软件可用，放行依赖下载，如果不可用，阻止依赖下载。最终实现开源软件精准管控。
[0004]中国专利申请号CN202110177893.7公开了一种开源软件漏洞管控方法及装置，开源软件漏洞管控方法包括：获取系统中所有代码文件所对应的特征值；在开源软件漏洞数据库中遍历所述特征值，以生成遍历结果；根据遍历结果管控所述系统中的开源软件漏洞。该申请克服了现有技术中，对开源软件漏洞传统的处理方法存在的弊端，通过利用开源软件指纹码比对的方式，将漏洞软件指纹、企业使用开源软件指纹、开源软件漏洞数据库库中指纹三种指纹的比对来明确当前漏洞的影响范围，并根据开源软件漏洞数据库提供的漏洞解决方案，自动的对存在漏洞的开源软件进行有效的传播阻止，同时实现自动生产环境漏洞修复，以达到及时发现、及时隔离、自动升级的目的。但是，该申请并未解决缺少针对开源软件纳入统一管理的设计。
[0005]现有对开源软件的使用主要由开发人员在项目中添加依赖配置后下载获取，没有对开源软件使用的精准管控。这样会导致，项目中依赖下载的开源软件存在以下缺点或问题：
[0006](1)缺少对允许使用的开源软件纳入统一管理；
[0007](2)缺少开源软件漏洞风险和协议使用合规风险收集及管理；
[0008](3)缺少同一软件使用多版本进行管理，使得开源软件版本使用混乱，没有基线版本制定；
[0009](4)缺少对软件生命周期的管理，从软件的使用到软件升级迭代后就版本退出，缺少对其使用生命周期的管理；
[0010](5)缺少开源软件的使用台账，后续无法对依赖开源软件的系统进行使用分析等。

技术实现思路

[0011]本专利技术的目的就是为了克服上述现有技术存在的缺陷而提供一种开源软件调用请求处理方法、设备、介质，通过对白名单内的开源软件进行包括引入、使用中、不再新增、基线设定和退出的全生命周期管理，实现对开源软件的全生命周期精准管控。
[0012]本专利技术的目的可以通过以下技术方案来实现：
[0013]本专利技术的一个方面，提供了一种开源软件调用请求处理方法，包括如下步骤：
[0014]获取开源软件调用请求，判断请求的软件是否再预置的白名单内且符合调用条件，若是，发出允许调用信号，若否，发出拒绝调用信号；
[0015]在开源软件使用过程中，通过与CICD系统连接的接口获取预设格式匹配的开源软件依赖组件下载请求信息，判断开源软件依赖组件是否在所述白名单内，若是，发出允许下载信号，若否，发出拒绝下载信号，实现软件依赖的下载认证，其中，所述开源软件依赖组件下载请求信息通过依赖树获取。
[0016]作为优选的技术方案，所述的白名单的获取包括如下步骤：
[0017]通过对目标开源软件进行安全漏洞扫描和/或审批，在全部流程通过后加入所述白名单。
[0018]作为优选的技术方案，对目标开源软件进行审批的过程包括如下步骤：
[0019]基于状态机实现包括开源软件引入、退出和基线变更环节的审批链的流转。
[0020]作为优选的技术方案，通过在开源软件的依赖库中嵌入插件实现软件依赖的下载认证，所述插件通过扫描或人工设置的方式获取开源软件的依赖信息。
[0021]作为优选的技术方案，还包括：
[0022]通过扫描或人工收集的方式获取开源软件漏洞信息，基于所述开源软件漏洞信息向管理终端发送可视化信号。
[0023]作为优选的技术方案，判断开源软件符合调用条件包括如下步骤：
[0024]根据开源软件所处评估流程判断是否符合调用条件，其中，所述评估流程包括：升级/降级评估、软件基线设定、软件不再新增评估、软件退出评估中的一个或多个。
[0025]作为优选的技术方案，基于开源软件分类的不同对所述的白名单进行划分。
[0026]作为优选的技术方案，还包括如下步骤：
[0027]保存开源软件调用记录以及依赖组件下载记录。
[0028]本专利技术的另一个方面，提供了一种电子设备，包括：一个或多个处理器以及存储器，所述存储器内储存有一个或多个程序，所述一个或多个程序包括用于执行上述开源软件调用请求处理方法的指令。
[0029]本专利技术的另一个方面，提供了一种计算机可读存储介质，包括供电子设备的一个或多个处理器执行的一个或多个程序，所述一个或多个程序包括用于执行上述开源软件调用请求处理方法的指令。
[0030]与现有技术相比，本专利技术具有以下优点：
[0031](1)实现了对开源软件的调用请求处理：通过解析依赖树分析软件依赖成分获取开源软件依赖的组件信息，通过对开源软件进行包括引入、使用中、不再新增、基线设定和退出的全生命周期管理，实现对开源软件的全生命周期精准管控。
[0032](2)使用场景广泛：通过在开源软件的依赖库中嵌入插件，实现了插件化及统一API方式，能够适用于多种使用场景。
[0033](3)管控方便：通过状态机技术，实现软件引入及生命周期管理的各种审批流。
附图说明
[0034]图1为实施例1中整体功能示意图。
具体实施方式
[0035]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术的一部分实施例，而不是全部实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都应属于本专利技术保护的范围。
[0036]实施例1
[0037]如图1所述，本实施例提供了一种开源软件调用请求处理方法，通过开源精准管控软件，完成开源软件治理流程、自动化流程检测、开源软件信息库、权限菜单管理等功能，实现开源治理统一收口。
[0038]开源软件提供统一精准管控，技术上通过开源软件名单管控方式实现，即在需要使用开源软件时，对需要使用的开源软件进行统一引入，经安全漏洞扫描、专家审核后，加入开源软件白名单。
[0039]在开源软件引入、退出、基线变更的审核环节，技术上通过使用状态机设计，实现审批链流转。
[0040]在开源软件使用过程中，通过对CICD系统提供统一的API接口，实现自动开源软件依赖下载认证，如在开源软件白名单，则进行放行下载，否在进行阻断。通过自研插件的方式，嵌入开源软件依赖库，此自研插件会通过统一API接口进行开源软件依赖下载认证，认证通过后，才能进行开源软件下载使用，确保通过此技术手段，从技术本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种开源软件调用请求处理方法，其特征在于，包括如下步骤：获取开源软件调用请求，判断请求的软件是否再预置的白名单内且符合调用条件，若是，发出允许调用信号，若否，发出拒绝调用信号；在开源软件使用过程中，通过与CICD系统连接的接口获取预设格式匹配的开源软件依赖组件下载请求信息，判断开源软件依赖组件是否在所述白名单内，若是，发出允许下载信号，若否，发出拒绝下载信号，实现软件依赖的下载认证，其中，所述开源软件依赖组件下载请求信息通过依赖树获取。2.根据权利要求1所述的一种开源软件调用请求处理方法，其特征在于，所述的白名单的获取包括如下步骤：通过对目标开源软件进行安全漏洞扫描和/或审批，在全部流程通过后加入所述白名单。3.根据权利要求2所述的一种开源软件调用请求处理方法，其特征在于，对目标开源软件进行审批的过程包括如下步骤：基于状态机实现包括开源软件引入、退出和基线变更环节的审批链的流转。4.根据权利要求1所述的一种开源软件调用请求处理方法，其特征在于，通过在开源软件的依赖库中嵌入插件实现软件依赖的下载认证，所述插件通过扫描或人工设置的方式获取开源软件的依赖信息。5.根据权利要求1所述的一种开源软件调用请求处理方法，其特征...

【专利技术属性】
技术研发人员：铁锦程，郑正，刘佳利，刘冉，
申请(专利权)人：上海浦东发展银行股份有限公司，
类型：发明
国别省市：