建立软件产品及其运行环境的SBOM和安全漏洞检查的方法技术

本发明专利技术提出了一种建立软件产品及其运行环境的SBOM和安全漏洞检查的方法，包括：检出软件产品源码，遍历源码及代码段以生成源码对应的物料清单，遍历源码依赖组件以生成依赖组件的物料清单；将源码对应的物料清单与开源组件数据库进行对比，更新组件物料清单；对比软件物料清单中的每个软件物料和安全漏洞数据库，生成漏洞报告；生成相应趋势或溯源分析报告；依据软件产品的要求进行安装部署，生成部署文件；生成操作系统及安装组件物料清单、特殊组件物料清单、容器组件物料清单和依赖服务物料清单，生成物料清单组；遍历每个部署实例环境并生成相应报告；将前述报告进行合并，生成完整报告。本发明专利技术可以提高软件物料及信息安全管理的质量和效率。

【技术实现步骤摘要】

本专利技术涉及软件安全，特别涉及一种建立软件产品及其运行环境的sbom和安全漏洞检查的方法。

技术介绍

1、当代软件产品通常由多个组件通过一定技术装配、编译而成，其中包括众多开源组件，开源项目以及多数开源许可证均诞生于美国或由美国公司掌控，充分识别并追踪软件的构成十分重要。其次，开源组件中包括有大量安全漏洞，即使采用代码安全管控软件也很难穷尽所有安全漏洞。

2、目前大多数软件产品缺少必要的软件物料管理或依赖手工管理，或仅从源代码扫描或使用构建工具生成物料清单，物料清单覆盖不全面、未包括软件产品运行环境信息、没有包括物料变更和溯源、也没有进行漏洞分析，效率差，更新不及时，对维系软件安全十分不利。现有技术方案仅局限于软件源码，没有包括软件产品其依赖组件、运行环境等检测，也没有包括安全漏洞检测的方案。

技术实现思路

1、本专利技术的目的旨在至少解决所述技术缺陷之一。

2、为此，本专利技术的目的在于提出一种建立软件产品及其运行环境的sbom和安全漏洞检查的方法，最大限度利用物料清单和安全漏洞数本文档来自技高网...

【技术保护点】

1.一种建立软件产品及其运行环境的SBOM和安全漏洞检查的方法，其特征在于，包括如下步骤：

2.如权利要求1所述的建立软件产品及其运行环境的SBOM和安全漏洞检查的方法，其特征在于，在所述步骤S1中，采用以下方式之一检出软件产品源码：

3.如权利要求1所述的建立软件产品及其运行环境的SBOM和安全漏洞检查的方法，其特征在于，在所述步骤S3中，所述根据对比结果更新组件物料清单，包括如下步骤：

4.如权利要求1所述的建立软件产品及其运行环境的SBOM和安全漏洞检查的方法，其特征在于，在所述步骤S4中，所述生成漏洞报告，包括：对比每个软件物料和安全漏洞数据库...

【技术特征摘要】

1.一种建立软件产品及其运行环境的sbom和安全漏洞检查的方法，其特征在于，包括如下步骤：

2.如权利要求1所述的建立软件产品及其运行环境的sbom和安全漏洞检查的方法，其特征在于，在所述步骤s1中，采用以下方式之一检出软件产品源码：

3.如权利要求1所述的建立软件产品及其运行环境的sbom和安全漏洞检查的方法，其特征在于，在所述步骤s3中，所述根据对比结果更新组件物料清单，包括如下步骤：

4.如权利要求1所述的建立软件产品及其运行环境的sbom和安全漏洞检查的方法，其特征在于，在所述步骤s4中，所述生成漏洞报告，包括：对比每个软件物料和安全漏洞数据库，如果软件物料的物料标识和安全漏洞的标识一致，则判断该软件物料含有此安全漏洞，将该软件物料和安全漏洞信息输出到漏洞报告中；如此执行直至所有物料遍历完毕。

5.如权利要求1所述的建立软件产品及其运行环境的sbom和安全漏洞检查的方法，其特征在于，在所述步骤s5中，

6.如权利要求1所述的建立软件产品及其运行环境的sbom和安全漏洞检查的方法，其特征在于，在所述步骤s6中，所述组件实例信息包括：名称、版本、哈希摘要、部署日期、部署地址、实例标识及软件组件从属关系。

7.如权利要求1所述的建立软件产品及其运行环境的sbom和安全漏洞检查...

【专利技术属性】
技术研发人员：万志勇，吴迪，常惟楚，
申请(专利权)人：中数通信息有限公司，
类型：发明
国别省市：