依赖风险版本自动禁用方法技术

本发明专利技术实施例公开了一种依赖风险版本自动禁用方法

【技术实现步骤摘要】
依赖风险版本自动禁用方法、设备及介质


[0001]本专利技术实施例涉及信息安全
，尤其涉及一种依赖风险版本自动禁用方法
、
设备及介质
。

技术介绍

[0002]在计算机系统开发中，新项目的开发集成部署运行与第三方
(
开源组织或商业组织
)
发布的中间组件紧密联系，比如集成系统运行时常见的日志输出组件
log4j、
数据库中间件，以及各种工具类中间件
。
而这些中间组件在自身的版本迭代中总是会留下一些有高危攻击性漏洞或重大
bug
的版本，比如
log4j2
可远程攻击相关的
day0
漏洞等
。
如果业务系统引用了这些有漏洞的组件，将面临巨大的风险，信息数据随时有可能被盗取泄漏
。
[0003]现有技术中，大部分系统开发都依赖于开发规范的约束或人为代码检查来避免风险组件
。
但随着三方组件漏洞层出不穷，历史已知的漏洞组件版本繁多，上述方式很难保证系统安全
。

技术实现思路

[0004]本专利技术实施例提供一种依赖风险版本自动禁用方法
、
设备及介质，在项目构建和项目运行阶段自动识别并阻断高危风险组件，保证系统安全
。
[0005]第一方面，本专利技术实施例提供了一种依赖风险版本自动禁用方法，包括：
[0006]在项目构建流程中，对项目集成包的各依赖组件进行指纹分析，并利用各依赖组件的
md5(message
‑
digestalgorithm5
，信息
‑
摘要算法
)
指纹，首次出现加全称指纹与依赖风险版本库比对，以检测各依赖组件是否存在漏洞风险；如果任一依赖组件存在漏洞风险，禁用所述依赖组件并终止项目构建，或替换为安全版本继续项目构建；如果各依赖组件均无漏洞风险，继续项目构建；
[0007]完成项目构建后在项目启动流程中，提取新建进程的各依赖组件进行指纹分析，并利用各依赖组件的
md5
指纹与依赖风险版本库比对，以检测各依赖组件是否存在漏洞风险；如果任一依赖组件存在漏洞风险，禁用所述依赖组件并终止项目运行，或替换为安全版本继续运行；
[0008]其中，所述依赖风险版本库包括：多个依赖组件的名称
、
风险版本信息
、
安全版本信息，以及各版本文件的
md5
指纹；所述利用各依赖组件的
md5
指纹与依赖风险版本库比对，以检测各依赖组件是否存在漏洞风险，包括：针对任一依赖组件，搜索所述依赖风险版本库中名称相同的目标依赖组件；如果存在以下情况，确定所述任一依赖组件存在漏洞风险：所述任一依赖组件的版本信息与所述目标依赖组件的风险版本信息匹配；或所述任一依赖组件的版本信息与所述目标依赖组件的安全版本信息匹配，且所述任一依赖组件的
md5
指纹与所述目标依赖组件的安全版本文件的
md5
指纹不匹配
。
[0009]第二方面，本专利技术实施例提供一种电子设备，包括：
[0010]一个或多个处理器；
[0011]存储器，用于存储一个或多个程序，
[0012]当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现上述的依赖风险版本自动禁用方法
。
[0013]第三方面，本专利技术实施例提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述的依赖风险版本自动禁用方法
。
[0014]本专利技术实施例提供一种依赖风险版本自动禁用方法，通过依赖风险版本库为组件安全提供最新的对照依据
。
在具体的项目构建流程中添加对依赖组件的安全检测环节，通过各组件文件的
md5
指纹与依赖风险版本库中的组件一一比对，提高安全检测的准确性；如果存在漏洞风险则立即阻止持续构建流程并替换安全版本，阻断风险扩散
。
对于采用欺骗手段绕过检测的风险组件，则通过项目运行流程中的进程监控再次提取组件文件的
md5
指纹，与依赖风险版本库中的组件进行二次比对；如果存在漏洞风险则立即阻止持续构建流程，阻断风险扩散
。
通过以上的双重扫描
、
双重比对
、
双重阻断避免遗漏，使得在项目集成构建阶段或系统启动运行时，就能够自动识别
、
拦截
、
阻断具有风险漏洞三方依赖组件，避免系统在生产运行环境下产生相关高危风险
。
附图说明
[0015]为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图
。
[0016]图1是本专利技术实施例提供的一种依赖风险版本自动禁用方法的流程图；
[0017]图2是本专利技术实施例提供的一种在
jenkins
平台的项目构建流程中嵌入该模块的示意图；
[0018]图3是本申请实施例提供的另一种依赖风险版本自动禁用方法的流程图；
[0019]图4是本专利技术实施例提供的一种电子设备的结构示意图
。
具体实施方式
[0020]为使本专利技术的目的
、
技术方案和优点更加清楚，下面将对本专利技术的技术方案进行清楚
、
完整的描述
。
显然，所描述的实施例仅是本专利技术一部分实施例，而不是全部的实施例
。
基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施例，都属于本专利技术所保护的范围
。
[0021]在本专利技术的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本专利技术和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位
、
以特定的方位构造和操作，因此不能理解为对本专利技术的限制
。
此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性
。
[0022]在本专利技术的描述中，还需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可
以是两个元件内部的连通
。
对于本领域的普通技术人员而言，可以具体情况理解上述术语在本专利技术本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种依赖风险版本自动禁用方法，其特征在于，包括：在项目构建流程中，对项目集成包的各依赖组件进行指纹分析，并利用各依赖组件的
md5
指纹与依赖风险版本库比对，以检测各依赖组件是否存在漏洞风险；如果任一依赖组件存在漏洞风险，禁用所述依赖组件并终止项目构建，或替换为安全版本继续项目构建；如果各依赖组件均无漏洞风险，继续项目构建；完成项目构建后在项目启动流程中，提取新建进程的各依赖组件进行指纹分析，并利用各依赖组件的
md5
指纹与依赖风险版本库比对，以检测各依赖组件是否存在漏洞风险；如果任一依赖组件存在漏洞风险，禁用所述依赖组件并终止项目运行，或替换为安全版本继续运行；其中，所述依赖风险版本库包括：多个依赖组件的名称
、
风险版本信息
、
安全版本信息，以及各版本文件的
md5
指纹；所述利用各依赖组件的
md5
指纹与依赖风险版本库比对，以检测各依赖组件是否存在漏洞风险，包括：针对任一依赖组件，搜索所述依赖风险版本库中名称相同的目标依赖组件；如果存在以下情况，确定所述任一依赖组件存在漏洞风险：所述任一依赖组件的版本信息与所述目标依赖组件的风险版本信息匹配；或所述任一依赖组件的版本信息与所述目标依赖组件的安全版本信息匹配，且所述任一依赖组件的
md5
指纹与所述目标依赖组件的安全版本文件的
md5
指纹不匹配
。2.
根据权利要求1所述的方法，其特征在于，所述对项目集成包的各依赖组件进行指纹分析，包括：调用项目构建工具，对项目脚本自动集成打包；解压打包文件，并计算解压后各文件的
md5
指纹
。3.
根据权利要求1所述的方法，其特征在于，在所述利用各依赖组件的
md5
指纹与依赖风险版本库比对，以检测各依赖组件是否存在漏洞风险之后，还包括：如果所述任一依赖组件的版本信息与所述目标依赖组件的安全版本信息匹配，且所述任一依赖组件的
...

【专利技术属性】
技术研发人员：李定坤，宋子龙，
申请(专利权)人：叮当快药科技集团有限公司，
类型：发明
国别省市：