本申请公开了一种软件风险的检测方法和装置、存储介质及电子设备,涉及信息安全技术领域,该方法包括:获取目标对象的软件拉取请求;若目标软件库中不存在字段标识对应的目标软件,则依据目标对象的身份类型,判断目标对象是否具有拉取第三方软件的权限;若目标对象具有拉取第三方软件的权限,则从第三方拉取目标软件,并依据目标对象的身份类型,确定对目标软件的风险检测策略;依据风险检测策略对目标软件进行风险检测,得到目标风险检测结果。通过本申请,解决了相关技术中在软件研发生命周期各个阶段时,现有的漏洞扫描系统不能对拉取的软件进行全面的风险检测,导致对软件的风险检测的准确度比较低的问题。险检测的准确度比较低的问题。险检测的准确度比较低的问题。
【技术实现步骤摘要】
软件风险的检测方法和装置、存储介质及电子设备
[0001]本申请涉及信息安全
,具体而言,涉及一种软件风险的检测方法和装置、存储介质及电子设备。
技术介绍
[0002]在数字时代,随着混源开发模式成为常态,开源和三方软件的使用比例越来越高,企业往往需要建设私有企业级软件制品仓库,达到对开源、三方软件的统一管理。同时随着软件复杂度不断提高,软件供应链安全已成为企业关注的重要问题。但目前金融行业企业级软件制品仓库(例如Nexus、JFrog、harbor等)安全防护能力较弱,缺少必要的安全准入机制,存在从软件供应链各个供应活动中,例如开源社区、供应商、物流公司等上游,引入软件漏洞、后门植入、恶意篡改、假冒伪劣的安全风险,无法从源头、引入、使用多维度防御软件供应链攻击。JFrog等商业软件自带的漏洞扫描能力不兼容其他开源仓库管理软件,成本高,且不支持后门植入、恶意篡改、假冒伪劣等风险的检测与防护,无法提供全面、综合的安全检测能力。
[0003]针对相关技术中在软件研发生命周期各个阶段时,现有的漏洞扫描系统不能对拉取的软件进行全面的风险检测,导致对软件的风险检测的准确度比较低的问题,目前尚未提出有效的解决方案。
技术实现思路
[0004]本申请的主要目的在于提供一种软件风险的检测方法和装置、存储介质及电子设备,以解决相关技术中在软件研发生命周期各个阶段时,现有的漏洞扫描系统不能对拉取的软件进行全面的风险检测,导致对软件的风险检测的准确度比较低的问题。
[0005]为了实现上述目的,根据本申请的一个方面,提供了一种软件风险的检测方法。该方法包括:获取目标对象的软件拉取请求,其中,所述软件拉取请求中至少包括:所述目标对象的身份类型和待拉取的目标软件的字段标识;若目标软件库中不存在所述字段标识对应的目标软件,则依据所述目标对象的身份类型,判断所述目标对象是否具有拉取第三方软件的权限;若所述目标对象具有拉取第三方软件的权限,则从第三方拉取所述目标软件,并依据所述目标对象的身份类型,确定对所述目标软件的风险检测策略;依据所述风险检测策略对所述目标软件进行风险检测,得到目标风险检测结果,其中,所述目标风险检测结果用于指示是否将所述目标软件推送至所述目标对象。
[0006]进一步地,若所述目标对象的身份类型为第一类型,依据所述风险检测策略对所述目标软件进行风险检测,得到目标风险检测结果包括:对所述目标软件进行软件成分分析,得到第一风险检测结果;对所述目标软件进行沙箱动态检测,得到第二风险检测结果;依据预设黑名单,对所述目标软件进行风险检测,得到第三风险检测结果;依据所述第一风险检测结果、所述第二风险检测结果和所述第三风险检测结果,确定所述目标风险检测结果。
[0007]进一步地,对所述目标软件进行软件成分分析,得到第一风险检测结果包括:依据软件成分分析技术对所述目标软件进行软件成分分析,得到所述目标软件对应的组件成分;依据所述目标软件对应的组件成分和预设的漏洞知识库进行风险检测,得到所述第一风险检测结果。
[0008]进一步地,对所述目标软件进行沙箱动态检测,得到第二风险检测结果包括:对所述目标软件进行沙箱动态检测,得到所述目标软件运行时的数据信息,其中,所述数据信息至少包括:所述目标软件对应的网络访问数据信息、所述目标软件对应的文件操作数据信息以及所述目标软件对应的调用数据信息;依据所述目标软件运行时的数据信息进行风险检测,得到所述第二风险检测结果。
[0009]进一步地,在依据所述第一风险检测结果、所述第二风险检测结果和所述第三风险检测结果,确定所述目标风险检测结果之后,所述方法还包括:若所述目标风险检测结果表征所述目标软件无风险,则对所述目标软件添加目标属性标签,并触发第一消息提醒,其中,所述第一消息提醒用于提示所述目标对象在预设时间范围内对所述目标软件进行引入登记;在完成对目标软件的引入登记后,将所述目标软件和所述目标属性标签添加到所述目标软件库中。
[0010]进一步地,若所述目标对象的身份类型为第二类型,依据所述风险检测策略对所述目标软件进行风险检测,得到目标风险检测结果包括:将所述目标软件存储至临时软件库中,并判断所述目标软件是否已完成引入登记;若所述目标软件已完成引入登记,则对所述目标软件进行软件成分分析,得到第一风险检测结果;对所述目标软件进行沙箱动态检测,得到第二风险检测结果;依据预设黑名单,对所述目标软件进行风险检测,得到第三风险检测结果;依据所述第一风险检测结果、所述第二风险检测结果和所述第三风险检测结果,确定所述目标风险检测结果。
[0011]进一步地,在依据所述风险检测策略对所述目标软件进行风险检测,得到目标风险检测结果之后,所述方法包括:若所述目标风险检测结果表征所述目标软件无风险,则将所述目标软件推送至目标对象;若所述目标风险检测结果表征所述目标软件存在风险,则触发第二消息提醒,其中,所述第二消息提醒用于提示所述目标软件存在风险。
[0012]进一步地,在获取目标对象的软件拉取请求之后,所述方法还包括:依据所述软件拉取请求,获取所述待拉取的目标软件的字段标识;依据所述字段标识,判断目标软件库中是否存在所述目标软件;若所述目标软件库中存在所述目标软件,则依据所述目标对象的身份类型,判断所述目标对象是否具有拉取目标软件库中的软件的权限;若所述目标对象具有拉取目标软件库中的软件的权限,则从所述目标软件库中拉取所述目标软件,并将所述目标软件推送至所述目标对象。
[0013]为了实现上述目的,根据本申请的另一方面,提供了一种软件风险的检测装置。该装置包括:第一获取单元,用于获取目标对象的软件拉取请求,其中,所述软件拉取请求中至少包括:所述目标对象的身份类型和待拉取的目标软件的字段标识;第一判断单元,用于若目标软件库中不存在所述字段标识对应的目标软件,则依据所述目标对象的身份类型,判断所述目标对象是否具有拉取第三方软件的权限;拉取单元,用于若所述目标对象具有拉取第三方软件的权限,则从第三方拉取所述目标软件,并依据所述目标对象的身份类型,确定对所述目标软件的风险检测策略;检测单元,用于依据所述风险检测策略对所述目标
软件进行风险检测,得到目标风险检测结果,其中,所述目标风险检测结果用于指示是否将所述目标软件推送至所述目标对象。
[0014]进一步地,所述检测单元包括:第一分析模块,用于若所述目标对象的身份类型为第一类型,对所述目标软件进行软件成分分析,得到第一风险检测结果;第一检测模块,用于对所述目标软件进行沙箱动态检测,得到第二风险检测结果;第二检测模块,用于依据预设黑名单,对所述目标软件进行风险检测,得到第三风险检测结果;第一确定模块,用于依据所述第一风险检测结果、所述第二风险检测结果和所述第三风险检测结果,确定所述目标风险检测结果。
[0015]进一步地,所述第一分析模块包括:分析子模块,用于依据软件成分分析技术对所述目标软件进行软件成分分析,得到所述目标软件对应的组件成分;第一检测子模块,用于依据所述目标软件对应的组件成本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种软件风险的检测方法,其特征在于,包括:获取目标对象的软件拉取请求,其中,所述软件拉取请求中至少包括:所述目标对象的身份类型和待拉取的目标软件的字段标识;若目标软件库中不存在所述字段标识对应的目标软件,则依据所述目标对象的身份类型,判断所述目标对象是否具有拉取第三方软件的权限;若所述目标对象具有拉取第三方软件的权限,则从第三方拉取所述目标软件,并依据所述目标对象的身份类型,确定对所述目标软件的风险检测策略;依据所述风险检测策略对所述目标软件进行风险检测,得到目标风险检测结果,其中,所述目标风险检测结果用于指示是否将所述目标软件推送至所述目标对象。2.根据权利要求1所述的方法,其特征在于,若所述目标对象的身份类型为第一类型,依据所述风险检测策略对所述目标软件进行风险检测,得到目标风险检测结果包括:对所述目标软件进行软件成分分析,得到第一风险检测结果;对所述目标软件进行沙箱动态检测,得到第二风险检测结果;依据预设黑名单,对所述目标软件进行风险检测,得到第三风险检测结果;依据所述第一风险检测结果、所述第二风险检测结果和所述第三风险检测结果,确定所述目标风险检测结果。3.根据权利要求2所述的方法,其特征在于,对所述目标软件进行软件成分分析,得到第一风险检测结果包括:依据软件成分分析技术对所述目标软件进行软件成分分析,得到所述目标软件对应的组件成分;依据所述目标软件对应的组件成分和预设的漏洞知识库进行风险检测,得到所述第一风险检测结果。4.根据权利要求2所述的方法,其特征在于,对所述目标软件进行沙箱动态检测,得到第二风险检测结果包括:对所述目标软件进行沙箱动态检测,得到所述目标软件运行时的数据信息,其中,所述数据信息至少包括:所述目标软件对应的网络访问数据信息、所述目标软件对应的文件操作数据信息以及所述目标软件对应的调用数据信息;依据所述目标软件运行时的数据信息进行风险检测,得到所述第二风险检测结果。5.根据权利要求2所述的方法,其特征在于,在依据所述第一风险检测结果、所述第二风险检测结果和所述第三风险检测结果,确定所述目标风险检测结果之后,所述方法还包括:若所述目标风险检测结果表征所述目标软件无风险,则对所述目标软件添加目标属性标签,并触发第一消息提醒,其中,所述第一消息提醒用于提示所述目标对象在预设时间范围内对所述目标软件进行引入登记;在完成对目标软件的引入登记后,将所述目标软件和所述目标属性标签添加到所述目标软件库中。6.根据权利要求1所述的方法,其特征在于,若所述目标对象的身份类型为第二类型,依据所述风险检测策略对所述目标软件进行风险检测,得到...
【专利技术属性】
技术研发人员:慕启涛,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。