【技术实现步骤摘要】
一种漏洞可达性检测方法、装置、设备及可读存储介质
[0001]本申请涉及网络安全
,尤其涉及一种漏洞可达性检测方法
、
装置
、
设备及可读存储介质
。
技术介绍
[0002]在软件开发中,使用第三方组件是常见的做法
。
然而,这些组件可能存在漏洞,如果不及时发现和修复,就会给系统带来安全隐患
。
目前已有许多组件成分分析
(Software Composition Analysis
,
SCA)
工具可以扫描出项目所依赖的组件中存在漏洞的情况
。
但是,这些工具所识别的漏洞并不能完全反映实际安全情况,因为它们只能识别组件中直接包含的漏洞,并没有考虑到间接调用关系,无法判定组件所包含的漏洞是否会被触发,即漏洞是否是可达的,若漏洞不会被触发即不可达,则该漏洞是误报的
。
从而,相关技术中的漏洞检测结果的准确性较低
。
技术实现思路
[0003]本申请的主要目的在于提供一种漏洞可达性检测方法
、
装置
、
设备及可读存储介质,至少能够解决相关技术中漏洞检测结果的准确性较低的问题
。
[0004]为实现上述目的,本申请第一方面提供了一种漏洞可达性检测方法,该方法包括:
[0005]获取待检测项目的项目特征信息;其中,所述项目特征信息包括依赖组件信息及关联于所述依赖组件的第一漏洞信息;
[0006] ...
【技术保护点】
【技术特征摘要】
1.
一种漏洞可达性检测方法,其特征在于,包括:获取待检测项目的项目特征信息;其中,所述项目特征信息包括依赖组件信息及关联于所述依赖组件的第一漏洞信息;将各所述第一漏洞信息分别与预设的漏洞知识库进行匹配,得到对应的目标函数调用链;其中,所述漏洞知识库包括开源组件的第二漏洞信息及关联于所述第二漏洞信息的函数调用链;根据所述待检测项目所调用的函数及所述目标函数调用链,确定对应于所述目标函数调用链的漏洞的可达状态
。2.
根据权利要求1所述的漏洞可达性检测方法,其特征在于,所述将各所述第一漏洞信息分别与预设的漏洞知识库进行匹配的步骤之前,还包括:基于预设漏洞信息社区,获取开源组件的第二漏洞信息;其中,第二漏洞信息包括漏洞编号
、
漏洞描述信息
、
漏洞风险等级
、
漏洞引用链接;根据所述第二漏洞信息以及相应的漏洞代码信息确定漏洞触发函数;基于抽象语法树技术获取对应于所述漏洞触发函数的函数调用链;基于各所述漏洞编号以及所述函数调用链生成所述漏洞知识库
。3.
根据权利要求2所述的漏洞可达性检测方法,其特征在于,所述根据所述第二漏洞信息以及相应的漏洞代码信息确定漏洞触发函数的步骤,包括:基于所述漏洞引用链接,获取相应漏洞信息的源代码提交记录文件;分析所述源代码提交记录文件,得到相应的漏洞代码信息;根据所述漏洞代码信息以及所述源代码提交记录文件中的源代码,确定相应的漏洞触发函数
。4.
根据权利要求1所述的漏洞可达性检测方法,其特征在于,所述获取待检测项目的项目特征信息的步骤之前,还包括:基于组件成分分析工具对待检测项目进行分析,得到待检测项目中的依赖组件信息;将所述依赖组件与本地漏洞知识库进行匹配,得到关联的第一漏洞信息;基于所述依赖组件信息以及所述第一漏洞信息生成待检测项的项目特征信息
。5.
根据权利要求1所述的漏洞可达性检测方法,其特征在于,所述将各所述第一漏洞信息分别与预设的漏洞知识库进行匹配,得到对应的目标函数调用链的步骤,包括:将各...
【专利技术属性】
技术研发人员:朱良文,万振华,王颉,李华,董燕,
申请(专利权)人:安徽开源互联网安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。