【技术实现步骤摘要】
本专利技术涉及软件供应链安全,特别涉及一种产品交付前的开源组件检测方法、装置、设备及介质。
技术介绍
1、传统技术中对开源组件的检测时,例如对java(面向对象的程序设计语言)开源组件的检测时,将开源组件的cpe(common platform enumeration,通用平台枚举项)信息和配置文件的开源组件信息与漏洞数据库做匹配,并将匹配到的具有漏洞信息的组件确定为风险组件。
2、传统技术侧重于对开源组件漏洞检测,其缺点在于:1、开源组件漏洞的检测方法误报率很高,各产品都需要对检测结果进行人工复核,造成重复工作量;2、开源组件漏洞的检测方法仅能根据固定格式识别组件,一旦组件被篡改或深度隐藏于开源源码中,则无法对识别出此类组件,进一步的,如果将此类有风险的组件交付到用户手中,会给用户环境带来极大的安全隐患。
3、为此,如何降低人工复核的工作量,并识别出被篡改或深度隐藏于开源源码中的开源组件,以提高交付的安全性是本领域亟待解决的问题。
技术实现思路
1、有鉴于此,本专...
【技术保护点】
1.一种产品交付前的开源组件检测方法,其特征在于,包括:
2.根据权利要求1所述的产品交付前的开源组件检测方法,其特征在于,所述基于目标检测信息确定目标开源组件包,包括:
3.根据权利要求1所述的产品交付前的开源组件检测方法,其特征在于,所述基于目标检测信息确定目标开源组件包之前,包括:
4.根据权利要求3所述的产品交付前的开源组件检测方法,其特征在于,所述对所述目标开源组件包进行解析,以确定所述目标开源组件包的目标特征信息,包括:
5.根据权利要求4所述的产品交付前的开源组件检测方法,其特征在于,所述将所述目标特征信息...
【技术特征摘要】
1.一种产品交付前的开源组件检测方法,其特征在于,包括:
2.根据权利要求1所述的产品交付前的开源组件检测方法,其特征在于,所述基于目标检测信息确定目标开源组件包,包括:
3.根据权利要求1所述的产品交付前的开源组件检测方法,其特征在于,所述基于目标检测信息确定目标开源组件包之前,包括:
4.根据权利要求3所述的产品交付前的开源组件检测方法,其特征在于,所述对所述目标开源组件包进行解析,以确定所述目标开源组件包的目标特征信息,包括:
5.根据权利要求4所述的产品交付前的开源组件检测方法,其特征在于,所述将所述目标特征信息与预设的特征信息进行匹配,包括:
...【专利技术属性】
技术研发人员:李惠娟,袁忠,黄胜,吴汝钰,周俊,
申请(专利权)人:中电科网络安全科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。