【技术实现步骤摘要】
本申请实施例涉及软件安全,特别涉及一种组件安全检测方法、装置、计算机设备及存储介质。
技术介绍
1、目前在软件供应链市场中,开源软件和开源开发组件的占比日益增多。开源软件和开源开发组件可以极大增加开发效率,降低开发成本和门槛。甚至一些核心的软件架构中,都是以开源软件为核心进行构建。因此,若开源软件或开源开发组件存在致命漏洞,就会导致大范围的连锁反应。所以开源软件和开源开发组件不仅提高了开发效率,同时还带来了更大的供应链安全性挑战。
2、在相关技术中,通常通过针对软件产品的安全漏洞扫描的方式进行安全性检测,包括网络漏扫,主机漏扫,数据库漏扫,镜像漏扫等。
3、然在,相关技术的方案主要是针对操作系统、数据库和开源产品等进行安全检测,无法实现对源代码依赖的开发组件的有效控制,使得安全性检测效果较差。
技术实现思路
1、本申请实施例提供了一种组件安全检测方法、装置、计算机设备及存储介质,可以实现对源代码依赖的开发组件的有效控制,提高安全性检测的效果,进而提高源代码应用的安全性,该技术方案如下。
2、一方面,提供了一种组件安全检测方法,所述方法包括:
3、获取源代码依赖的依赖组件集合,所述依赖组件集合中包含至少一个依赖组件;
4、对所述依赖组件集合进行漏洞检测,获得所述依赖组件集合的漏洞检测结果;所述漏洞检测用于检测所述依赖组件集合中包含的依赖组件的风险等级;
5、对所述依赖组件集合进行规则检测,获得所述依赖组件集合的规
6、基于所述漏洞检测结果以及所述规则检测结果,确定所述依赖组件集合的安全性检测结果。
7、另一方面,提供了一种组件安全检测装置,所述装置包括:
8、组件集合获取模块,用于获取源代码依赖的依赖组件集合,所述依赖组件集合中包含至少一个依赖组件;
9、漏洞检测模块,用于对所述依赖组件集合进行漏洞检测,获得所述依赖组件集合的漏洞检测结果;所述漏洞检测用于检测所述依赖组件集合中包含的依赖组件的风险等级;
10、规则检测模块,用于对所述依赖组件集合进行规则检测,获得所述依赖组件集合的规则检测结果;所述规则检测用于检测所述依赖组件集合中包含的依赖组件的必要性;
11、安全性确定模块,用于基于所述漏洞检测结果以及所述规则检测结果,确定所述依赖组件集合的安全性检测结果。
12、在一种可能的实现方式中,每个依赖组件具有对应的组件信息,所述组件信息包括组件名称以及组件版本信息;
13、所述漏洞检测模块,包括:
14、漏洞查询子模块,用于遍历所述依赖组件集合中的至少一个依赖组件,对于至少一个依赖组件中的任一目标组件,在基于组件名称确定漏洞库中包含所述目标组件时,基于所述目标组件的组件版本信息查询并返回所述目标组件的子检测结果;所述漏洞库中记录有各个版本的依赖组件的风险等级;在所述漏洞库中不包含所述目标组件时,对所述目标组件进行即时风险分析,获得所述目标组件的子检测结果;所述即时风险分析是指在周期性更新的漏洞共享平台中对组件进行漏洞查询;
15、第一确定子模块,用于基于至少一个依赖组件的子检测结果确定所述依赖组件集合的漏洞检测结果。
16、在一种可能的实现方式中,所述装置还包括:
17、记录模块,用于在所述漏洞库中不包括所述目标组件时,在通过即时风险分析获得所述目标组件的风险等级后,将所述目标组件对应的风险等级记录到所述漏洞库中。
18、在一种可能的实现方式中,所述规则检测模块,包括:
19、规则匹配子模块,用于将所述依赖组件集合与规则库中的各个规则进行匹配,获得所述依赖组件集合相对于各个规则对应的匹配结果;所述规则库中的规则用于指示所述依赖组件集合中依赖组件存在的必要性;所述匹配结果用于指示所述依赖组件集合与规则匹配或不匹配;
20、第二确定子模块,用于基于所述依赖组件集合相对于各个规则对应的匹配结果,确定所述依赖组件集合的所述规则检测结果;
21、其中,所述规则库中的规则包括以下至少之一:必备依赖规则,排斥依赖规则以及组件版本依赖规则;所述必备依赖规则指示所述依赖组件集合中必备的依赖组件;所述排斥依赖规则指示所述依赖组件集合中不能存在的依赖组件;所述组件版本依赖规则指所述依赖组件集合中的依赖组件的必备版本。
22、在一种可能的实现方式中,在所述规则库中包含所述必备依赖规则,所述排斥规则以及所述组件版本依赖规则的情况下,所述第二确定子模块,用于,
23、在所述依赖组件集合相对于各个规则对应的匹配结果指示所述依赖组件集合与所述必备依赖规则、与所述排斥依赖规则以及所述组件版本依赖规则均匹配时,确定所述依赖组件集合的所述规则检测结果指示所述依赖组件集合规则匹配成功;
24、在所述依赖组件集合相对于各个规则对应的匹配结果指示所述依赖组件集合与所述必备依赖规则、与所述排斥依赖规则以及所述组件版本依赖规则中的任一规则不匹配时,确定所述依赖组件集合的所述规则检测结果指示所述依赖组件集合规则匹配失败;
25、其中,所述依赖组件集合与所述必备依赖规则相匹配是指所述依赖组合中包含所述必备依赖规则指示的全部必备组件;所述依赖组件集合与所述排斥依赖规则相匹配是指所述依赖组合中不包含所述排斥依赖规则指示的全部组件;所述依赖组件集合与所述组件版本依赖规则相匹配是指所述依赖组合中包含所述组件依赖版本规则指示的必备版本的依赖组件。
26、在一种可能的实现方式中,所述安全性确定模块,用于在所述漏洞检测结果指示所述依赖组件集合中包含风险等级高于等级阈值的依赖组件,或,所述规则检测结果指示所述依赖组件集合规则匹配失败时,确定所述安全性检测结果指示所述依赖组件集合未通过安全性检测。
27、在一种可能的实现方式中,所述安全性确定模块,用于在所述漏洞检测结果指示的至少一个依赖组件中的任一目标组件的子检测结果与所述规则检测结果指示的所述目标组件的规则匹配结果冲突时,基于所述规则检测结果确定所述依赖组件集合的安全性检测结果。
28、另一方面,提供了一种计算机设备,所述计算机设备包含处理器和存储器,所述存储器存储有至少一条计算机程序,所述至少一条计算机程序由所述处理器加载并执行以实现上述的组件安全检测方法。
29、另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一条计算机程序,所述计算机程序由处理器加载并执行以实现上述的组件安全检测方法。
30、另一方面,提供了一种计算机程序产品,所述计算机程序产品包括至少一条计算机程序,所述计算机程序由处理器加载并执行以实现上述各种可选实现方式中提供的组件安全检测方法。
31、本申请提供的技术方案可以包括以下有益效果:
32、本申请实施例提供的组件安全本文档来自技高网...
【技术保护点】
1.一种组件安全检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,每个依赖组件具有对应的组件信息,所述组件信息包括组件名称以及组件版本信息;
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
4.根据权利要求2所述的方法,其特征在于,所述对所述依赖组件集合进行规则检测,获得所述依赖组件集合的规则检测结果,包括:
5.根据权利要求4所述的方法,其特征在于,在所述规则库中包含所述必备依赖规则,所述排斥规则以及所述组件版本依赖规则的情况下,所述基于至所述依赖组件集合相对于各个规则对应的匹配结果,确定所述依赖组件集合的所述规则检测结果,包括:
6.根据权利要求5所述的方法,其特征在于,所述基于所述漏洞检测结果以及所述规则检测结果,确定所述依赖组件集合的安全性检测结果,包括:
7.根据权利要求5所述的方法,其特征在于,所述基于所述漏洞检测结果以及所述规则检测结果,确定所述依赖组件集合的安全性检测结果,包括:
8.一种组件安全检测装置,其特征在于,所述装置包括:
...【技术特征摘要】
1.一种组件安全检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,每个依赖组件具有对应的组件信息,所述组件信息包括组件名称以及组件版本信息;
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
4.根据权利要求2所述的方法,其特征在于,所述对所述依赖组件集合进行规则检测,获得所述依赖组件集合的规则检测结果,包括:
5.根据权利要求4所述的方法,其特征在于,在所述规则库中包含所述必备依赖规则,所述排斥规则以及所述组件版本依赖规则的情况下,所述基于至所述依赖组件集合相对于各个规则对应的匹配结果,确定所述依赖组件集合的所述规则检测结果,包括:
6.根据权利要求5所述的方法,其特征在于,所述基于...
【专利技术属性】
技术研发人员:张健伟,
申请(专利权)人:人保信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。