【技术实现步骤摘要】
本申请涉及信息安全,具体而言,涉及一种供应链安全管控方法、装置、计算机可读存储介质和安全管控系统。
技术介绍
1、受当前网络安全对抗不断升级、开源组件广泛使用等因素影响,软件供应链安全形势变得越发严峻。供应链安全问题所带来的广泛性威胁和供应链攻击所引发的安全问题更是以波及范围广、修复周期长、损害程度深的特点而令业界担忧。而目前的供应链管控仅仅在于第三方组件的检测,无法对供应链中的所有的环节进行安全管控。
技术实现思路
1、本申请的主要目的在于提供一种供应链安全管控方法、装置、计算机可读存储介质和安全管控系统,以至少解决现有技术中无法对供应链中的所有的环节进行安全管控的问题。
2、为了实现上述目的,根据本申请的一个方面,提供了一种供应链安全管控方法,包括:获取供应链上的所有的节点,其中,所述供应链包括软件生命周期的所有的环节,所述节点包括软件需求分析节点、软件设计节点、软件编码节点、软件测试节点、软件发布节点、软件运维节点和软件废弃节点;获取所有的所述节点的运行信息,其中,所述运行信息包括获取所有的所述节点的运行信息,其中,所述运行信息包括所述软件需求分析节点输出的软件需求信息,所述软件设计节点输出的功能说明信息,所述软件编码节点输出的代码信息,所述软件测试节点输出的测试信息,所述软件发布节点输出的发布信息,所述软件运维节点输出的运维信息,所述软件废弃节点输出的结束信息,所述软件需求信息包括功能需求、性能需求、界面需求和数据需求中的一个或者多个,所述功能说明信息包括界面功
3、可选地,根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点,包括:采用静态代码分析工具对所述软件编码节点输出的所述代码信息进行扫描分析,确定所述代码信息是否符合第一预设条件,采用漏洞扫描工具对所述软件编码节点输出的所述代码信息进行扫描分析,确定所述代码信息是否符合第二预设条件,在所述代码信息符合所述第一预设条件和/或所述第二预设条件的情况下,确定所述软件编码节点为所述目标节点,其中,所述第一预设条件包括代码无法运行、资源泄露和空指针引用中的一种或者多种,所述第二预设条件包括sql注入、跨站脚本攻击和跨站请求伪造中的一种或者多种。
4、可选地,根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点,包括:采用动态代码分析工具对所述软件编码节点输出的所述代码信息进行扫描分析,确定所述代码信息是否符合第三预设条件,采用安全测试工具对所述软件编码节点输出的所述代码信息进行扫描分析,确定所述代码信息是否符合第四预设条件,在所述代码信息符合所述第三预设条件和/或所述第四预设条件的情况下,确定所述软件编码节点为所述目标节点,其中,所述第三预设条件包括代码未验证、代码未鉴权和代码的敏感数据未加密中的一种或者多种,所述第三预设条件包括代码缓冲区溢出、代码外部调用异常和代码访问异常中的一种或者多种,所述安全测试工具包括模糊测试工具、web应用安全测试工具和动态二进制分析工具中的一个或者多个。
5、可选地,在根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点之后,所述方法还包括:对第三方组件进行漏洞分析,确定是否有存在漏洞的目标第三方组件,其中,所述第三方组件用于对所述供应链上的所述节点提供服务,漏洞分析方式包括数据库漏洞检测、组件版本检测和工具扫描分析中的一种或者多种;在存在所述目标第三方组件的情况下生成第二预警信息,并拦截所述目标第三方组件。
6、可选地,在获取供应链上的所有的节点之前,所述方法还包括:获取合同图像;采用ocr技术对所述合同图像进行文本识别,得到合同信息,其中,所述合同信息至少包括供应关系;根据所述合同信息确定所述供应链。
7、可选地,在根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点之后,所述方法还包括:获取供应商信息,其中,供应商为供应软件代码的所述节点,所述供应商信息包括档案信息、黑白名单信息、供货清单信息、项目信息中的一种或者多种;对所述供应商信息进行风险分析,确定是否存在异常的目标供应商,在存在所述目标供应商的情况下生成第三预警信息。
8、可选地,在根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点之后,所述方法还包括:获取软件物料信息,其中,软件物料为供应的软件,所述软件物料信息包括组件名称、组件版本和组件依赖关系中的一种或者多种;对所述软件物料信息进行风险分析,确定是否存在异常的目标软件物料,在存在所述目标软件物料的情况下生成第四预警信息。
9、根据本申请的另一方面,提供了一种供应链安全管控装置,包括:第一获取单元,用于获取供应链上的所有的节点,其中,所述供应链包括软件生命周期的所有的环节,所述节点包括软件需求分析节点、软件设计节点、软件编码节点、软件测试节点、软件发布节点、软件运维节点和软件废弃节点;第二获取单元,用于获取所有的所述节点的运行信息,其中,所述运行信息包括获取所有的所述节点的运行信息,其中,所述运行信息包括所述软件需求分析节点输出的软件需求信息,所述软件设计节点输出的功能说明信息,所述软件编码节点输出的代码信息,所述软件测试节点输出的测试信息,所述软件发布节点输出的发布信息,所述软件运维节点输出的运维信息,所述软件废弃节点输出的结束信息,所述软件需求信息包括功能需求、性能需求、界面需求和数据需求中的一个或者多个,所述功能说明信息包括界面功能说明信息、安全功能说明信息、接口功能说明信息和数据库功能说明信息中的一个或者多个,所述代码信息为软件的源代码或者编译后的机器代码,所述测试信息包括测试计划、测试用例、测试环境、测试日志和测试报告中的一个或者多个,所述发布信息包括版本号、发布日期和更新内容中的一个或者多个,所述运维信息包括配置信息、日志信息、数据库信息和反馈信息中的一个或者多个,所述结束信息包括废弃风险评估报告、废弃决策和废弃文档中的一个或者多个;管控单元,用于根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点,在存在所述目标节点的情况下生成第一预警信息,其中,所述节点的数量大于或者等于所述目标节点的数量,所述制度管理信息为预先配置的对每个所述节点输出的信息进行验证的规本文档来自技高网...
【技术保护点】
1.一种供应链安全管控方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点,包括:
3.根据权利要求1所述的方法,其特征在于,根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点,包括:
4.根据权利要求1所述的方法,其特征在于,在根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点之后,所述方法还包括:
5.根据权利要求1所述的方法,其特征在于,在获取供应链上的所有的节点之前,所述方法还包括:
6.根据权利要求1至5中任意一项所述的方法,其特征在于,在根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点之后,所述方法还包括:
7.根据权利要求1至5中任意一项所述的方法,其特征在于,在根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点之后,所述方法还包括:
8.一种供应链安全管控装置,其特征在于,包括:
9.一种计算机可读存储介质,其特征
10.一种安全管控系统,其特征在于,包括:一个或多个处理器,存储器,以及一个或多个程序,其中,所述一个或多个程序被存储在所述存储器中,并且被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行权利要求1至7中任意一项所述的供应链安全管控方法。
...【技术特征摘要】
1.一种供应链安全管控方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点,包括:
3.根据权利要求1所述的方法,其特征在于,根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点,包括:
4.根据权利要求1所述的方法,其特征在于,在根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点之后,所述方法还包括:
5.根据权利要求1所述的方法,其特征在于,在获取供应链上的所有的节点之前,所述方法还包括:
6.根据权利要求1至5中任意一项所述的方法,其特征在于,在根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点之后,...
【专利技术属性】
技术研发人员:徐传懋,杜金燃,梁志宏,许爱东,戴涛,赖博宇,
申请(专利权)人:南方电网科学研究院有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。