【技术实现步骤摘要】
依赖风险版本自动禁用方法、设备及介质
[0001]本专利技术实施例涉及信息安全
,尤其涉及一种依赖风险版本自动禁用方法
、
设备及介质
。
技术介绍
[0002]在计算机系统开发中,新项目的开发集成部署运行与第三方
(
开源组织或商业组织
)
发布的中间组件紧密联系,比如集成系统运行时常见的日志输出组件
log4j、
数据库中间件,以及各种工具类中间件
。
而这些中间组件在自身的版本迭代中总是会留下一些有高危攻击性漏洞或重大
bug
的版本,比如
log4j2
可远程攻击相关的
day0
漏洞等
。
如果业务系统引用了这些有漏洞的组件,将面临巨大的风险,信息数据随时有可能被盗取泄漏
。
[0003]现有技术中,大部分系统开发都依赖于开发规范的约束或人为代码检查来避免风险组件
。
但随着三方组件漏洞层出不穷,历史已知的漏洞组件版本繁多,上述方式很难保证系统安全
。
技术实现思路
[0004]本专利技术实施例提供一种依赖风险版本自动禁用方法
、
设备及介质,在项目构建和项目运行阶段自动识别并阻断高危风险组件,保证系统安全
。
[0005]第一方面,本专利技术实施例提供了一种依赖风险版本自动禁用方法,包括:
[0006]在项目构建流程中,对项目集成包的各依赖组件进行指纹分析 ...
【技术保护点】
【技术特征摘要】
1.
一种依赖风险版本自动禁用方法,其特征在于,包括:在项目构建流程中,对项目集成包的各依赖组件进行指纹分析,并利用各依赖组件的
md5
指纹与依赖风险版本库比对,以检测各依赖组件是否存在漏洞风险;如果任一依赖组件存在漏洞风险,禁用所述依赖组件并终止项目构建,或替换为安全版本继续项目构建;如果各依赖组件均无漏洞风险,继续项目构建;完成项目构建后在项目启动流程中,提取新建进程的各依赖组件进行指纹分析,并利用各依赖组件的
md5
指纹与依赖风险版本库比对,以检测各依赖组件是否存在漏洞风险;如果任一依赖组件存在漏洞风险,禁用所述依赖组件并终止项目运行,或替换为安全版本继续运行;其中,所述依赖风险版本库包括:多个依赖组件的名称
、
风险版本信息
、
安全版本信息,以及各版本文件的
md5
指纹;所述利用各依赖组件的
md5
指纹与依赖风险版本库比对,以检测各依赖组件是否存在漏洞风险,包括:针对任一依赖组件,搜索所述依赖风险版本库中名称相同的目标依赖组件;如果存在以下情况,确定所述任一依赖组件存在漏洞风险:所述任一依赖组件的版本信息与所述目标依赖组件的风险版本信息匹配;或所述任一依赖组件的版本信息与所述目标依赖组件的安全版本信息匹配,且所述任一依赖组件的
md5
指纹与所述目标依赖组件的安全版本文件的
md5
指纹不匹配
。2.
根据权利要求1所述的方法,其特征在于,所述对项目集成包的各依赖组件进行指纹分析,包括:调用项目构建工具,对项目脚本自动集成打包;解压打包文件,并计算解压后各文件的
md5
指纹
。3.
根据权利要求1所述的方法,其特征在于,在所述利用各依赖组件的
md5
指纹与依赖风险版本库比对,以检测各依赖组件是否存在漏洞风险之后,还包括:如果所述任一依赖组件的版本信息与所述目标依赖组件的安全版本信息匹配,且所述任一依赖组件的
...
【专利技术属性】
技术研发人员:李定坤,宋子龙,
申请(专利权)人:叮当快药科技集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。