【技术实现步骤摘要】
开源组件健康度确定方法及装置
[0001]本专利技术涉及安全
,尤其涉及一种开源组件健康度确定方法及装置
。
技术介绍
[0002]由于引入开源组件能够减少软件开发的成本,并大大加速软件的开发进度,因此,随着互联网和数字化技术发展的大趋势,开源组件的应用越来越广泛,对于软件开发和运维的重要性也日益凸显
。
但近年来,开源组件频繁爆出高危漏洞,例如
Strusts2、OpenSSL
和
Log4j
等
。
由于很多开源组件都应用于信息系统的底层,并且应用范围非常广泛,所以漏洞带来的安全危害非同一般
。
因此,在使用开源组件之前,往往需要对开源组件的健康度进行度量
。
[0003]相关技术中,通常通过软件成分分析系统对开源组件的安全风险进行检测,软件成分分析系统以应用中依赖的开源组件为检测主体,结合外部第三方漏洞库对开源组件的安全风险进行检测
。
[0004]但上述相关技术中,仅是对开源组件的安全风险进行检测,并没有对开源组件的健康度进行度量,因此,亟需一种开源组件健康度的确定方法,以确定开源组件的健康度
。
技术实现思路
[0005]针对现有技术中的问题,本专利技术实施例提供一种开源组件健康度确定方法及装置
。
[0006]具体地,本专利技术实施例提供了以下技术方案:
[0007]第一方面,本专利技术实施例提供了一种开源组件健康度确定方法,包括:<...
【技术保护点】
【技术特征摘要】
1.
一种开源组件健康度确定方法,其特征在于,包括:获取待检测开源组件对应的元数据;所述元数据包括用于表征所述待检测开源组件的活跃度的元数据;基于所述元数据和至少一个评价指标,确定所述待检测开源组件的目标健康度
。2.
根据权利要求1所述的开源组件健康度确定方法,其特征在于,所述元数据包括代码元数据和发布包元数据;所述获取待检测开源组件对应的元数据,包括:基于开源组件的组件坐标与代码仓库地址之间的对应关系,确定所述待检测开源组件的组件坐标对应的至少一个目标代码仓库地址;所述开源组件的组件坐标用于指示所述开源组件的标识和版本信息;基于开源组件信息库中存储的组件坐标与发布包元数据的对应关系,获取所述待检测开源组件的组件坐标对应的所述发布包元数据;基于所述开源组件信息库中存储的代码仓库地址与代码元数据的对应关系,获取各所述目标代码仓库地址对应的代码元数据,并将各所述目标代码仓库地址对应的代码元数据确定为所述待检测开源组件对应的代码元数据;所述开源组件信息库中存储有代码仓库地址与代码元数据的对应关系
、
以及组件坐标与发布包元数据的对应关系
。3.
根据权利要求2所述的开源组件健康度确定方法,其特征在于,所述元数据还包括安全漏洞数据;所述获取待检测开源组件对应的元数据,还包括:基于开源组件的组件坐标与安全漏洞标识之间的对应关系,确定所述待检测开源组件的坐标组件对应的至少一个目标安全漏洞标识;在所述开源组件信息库中获取各所述目标安全漏洞标识对应的安全漏洞数据;所述开源组件信息库中还存储有安全漏洞标识与安全漏洞数据的对应关系;所述基于所述元数据和至少一个评价指标,确定所述待检测开源组件的目标健康度,包括:基于所述元数据
、
所述安全漏洞数据和至少一个所述评价指标,确定所述待检测开源组件的所述目标健康度
。4.
根据权利要求2所述的开源组件健康度确定方法,其特征在于,所述方法还包括:针对各开源组件,获取所述开源组件关联的至少一个代码仓库地址;针对各所述代码仓库地址,从所述代码仓库地址对应的代码托管平台获取所述代码仓库地址对应的代码元数据;将所述代码仓库地址和代码元数据的对应关系存储至所述开源组件信息库中
。5.
根据权利要求2所述的开源组件健康度确定方法,其特征在于,所述方法还包括:针对各开源组件,获取所述开源组件关联的组件坐标;针对各所述组件坐标,从发布包仓库中获取所述组件坐标对应的发布包元数据;将所述组件坐标和发布包元数据的对应关系存储至所述开源组件信息库中
。6.
根据权利要求1‑5任一项所述的开源组件健康度确定方法,其特征在于,所述元数据还包括用于表征以下至少一项的元数据:所述待检测开源组件的关注度
、
所述待检测开源组件的依赖度和所述待检...
【专利技术属性】
技术研发人员:章磊,柳本金,黄永刚,韩建,孙宇,刘岩,
申请(专利权)人:奇安信科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。