本发明专利技术实施例公开了一种依赖库风险检查方法、装置、设备及存储介质,本实施例中当用户在目标项目的仓库中执行了目标操作后,会自动触发CICD流程提交目标文件到第三方库检查服务中,使得第三方库检查服务可根据目标文件中目标项目所依赖的第三方库的标识信息,调用第三方接口检索第三方库的安全风险,并在第三方库存在安全风险时,生成风险信息并向用户发出警告。本发明专利技术实施例能够在项目开发的过程中,及时发现项目所依赖的第三方库的安全风险并向用户发出警告,使得用户可以实时得知项目的安全风险并执行相对应的安全措施,解决了现有技术在项目的开发过程中无法及时检测出依赖库的安全风险的技术问题。
【技术实现步骤摘要】
本申请实施例涉及软件开发领域,尤其涉及一种依赖库风险检查方法、装置、设备及存储介质。
技术介绍
1、目前,在软件开发过程中,go语言因有着高并发处理能力强、支持跨平台开发、标准库丰富以及能够适应云计算和微服务架构等特点,受到了广大开发者的喜爱。使用go语言在开发过程中需要使用到大量的第三方库,然而第三方库的质量参差不齐,可能存在潜在的安全风险,如果开发者没有对第三方库进行充分的审查和测试,就可能引入安全风险。另外,即使依赖库在引入时是安全的,但是随着时间的推移,可能会出现新的安全风险,如果开发者没有持续跟踪和更新第三方库,可能会暴露出安全风险。
2、综上所述,如何在项目的开发过程中及时检测出依赖库的安全风险,成为了目前亟需解决的技术问题。
技术实现思路
1、本专利技术实施例提供了一种依赖库风险检查方法、装置、设备及存储介质,能够在软件开发过程中及时检测出依赖库的安全风险,解决了现有技术中无法及时检测出依赖库的安全风险的技术问题。
2、第一方面,本专利技术实施例提供了一种依赖库风险检查方法,包括:
3、接收cicd流程推送的目标文件,所述目标文件由目标项目的仓库执行目标操作时,触发cicd流程进行推送,所述目标文件用于管理所述目标项目所依赖的第三方库以及存储所述第三方库的标识信息;
4、解析所述目标文件的哈希值和部门标识,根据所述哈希值、部门标识以及所述目标项目的项目名称,校验所述目标项目是否为新版本;所述目标文件携带有所述部门标识;</p>5、当所述目标项目为新版本时,根据所述目标文件中的标识信息,调用第三方接口检查所述第三方库的安全风险;
6、当第三方库存在安全风险时,生成风险信息并向用户发出警告。
7、优选的,所述根据所述哈希值、部门标识以及所述目标项目的项目名称,校验所述目标项目是否为新版本,包括:
8、获取历史上接收到的与所述部门标识以及所述目标项目的项目名称相对应的历史目标文件;
9、解析所述历史目标文件的历史哈希值,判断所述历史哈希值是否与所述目标文件的哈希值相同;
10、当所述哈希值与所述历史哈希值不同时,确定所述目标项目为新版本。
11、优选的,在所述调用第三方接口检查所述第三方库的安全风险后,还包括:
12、根据检查结果确定风险等级、风险评分以及版本影响范围,根据所述风险等级、所述风险评分、所述版本影响范围以及所述第三方库的标识信息生成安全风险检查报告;
13、将所述安全风险检查报告与所述哈希值、所述部门标识以及所述项目名称组合成检查数据后,对所述组合数据进行保存。
14、优选的,还包括:
15、响应于版本迭代指令,根据所述版本影响范围确定所述目标项目的安全版本;
16、将所述目标项目的版本迭代至所述安全版本。
17、优选的,还包括:
18、获取所述目标项目中所有存在安全风险的第三方库的风险等级以及风险评分;
19、根据所述所有存在安全风险的第三方库的风险等级以及风险评分,确定所述目标项目当前的总体风险评分。
20、优选的,所述根据所述所有存在安全风险的第三方库的风险等级以及风险评分,确定所述目标项目当前的总体风险评分,包括:
21、将所述所有存在安全风险的第三方库的风险等级以及风险评分输入至预设的项目风险评分模型中,以使所述项目风险评分模型输出所述目标项目当前的总体风险评分。
22、优选的,所述目标操作包括代码推送、代码合并或者代码调度中的任意一种。
23、第二方面,本专利技术实施例提供了一种依赖库风险检查装置,包括:
24、文件接收模块,用于接收cicd流程推送的目标文件,所述目标文件由目标项目的仓库执行目标操作时,触发cicd流程进行推送,所述目标文件用于管理所述目标项目所依赖的第三方库以及存储所述第三方库的标识信息;
25、文件解析模块,用于解析所述目标文件的哈希值和部门标识,根据所述哈希值、部门标识以及所述目标项目的项目名称,校验所述目标项目是否为新版本;所述目标文件携带有所述部门标识;
26、风险检查模块,用于当所述目标项目为新版本时,根据所述目标文件中的标识信息,调用第三方接口检查所述第三方库的安全风险;
27、风险警告模块,用于当第三方库存在安全风险时,生成风险信息并向用户发出警告。
28、第三方面,本专利技术实施例提供了一种依赖库风险检查设备,所述依赖库风险检查设备包括处理器以及存储器;
29、所述存储器用于存储计算机程序,并将所述计算机程序传输给所述处理器;
30、所述处理器用于根据所述计算机程序中的指令执行如第一方面所述的一种依赖库风险检查方法。
31、第四方面,本专利技术实施例提供了一种存储计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行如第一方面所述的一种依赖库风险检查方法。
32、上述,本专利技术实施例提供了一种依赖库风险检查方法、装置、设备及存储介质,本实施例中当用户在目标项目的仓库中执行了目标操作后,会自动触发cicd流程提交目标文件到第三方库检查服务中,使得第三方库检查服务可根据目标文件中目标项目所依赖的第三方库的标识信息,调用第三方接口检索第三方库的安全风险,并在第三方库存在安全风险时,生成风险信息并向用户发出警告。本专利技术实施例能够在项目开发的过程中,及时发现项目所依赖的第三方库的安全风险并向用户发出警告,使得用户可以实时得知项目的安全风险并执行相对应的安全措施,解决了现有技术在项目的开发过程中无法及时检测出依赖库的安全风险的技术问题,且本专利技术实施例提供的依赖库风险检查方法无需繁琐配置,能够快速对接原有的cicd流程,且不对系统运行产生负面影响,侵入性低。
本文档来自技高网...
【技术保护点】
1.一种依赖库风险检查方法,其特征在于,包括:
2.根据权利要求1所述的依赖库风险检查方法,其特征在于,所述根据所述哈希值、部门标识以及所述目标项目的项目名称,校验所述目标项目是否为新版本,包括:
3.根据权利要求1所述的依赖库风险检查方法,其特征在于,在所述调用第三方接口检查所述第三方库的安全风险后,还包括:
4.根据权利要求3所述的依赖库风险检查方法,其特征在于,还包括:
5.根据权利要求3所述的依赖库风险检查方法,其特征在于,还包括:
6.根据权利要求5所述的依赖库风险检查方法,其特征在于,所述根据所述所有存在安全风险的第三方库的风险等级以及风险评分,确定所述目标项目当前的总体风险评分,包括:
7.根据权利要求1所述的依赖库风险检查方法,其特征在于,所述目标操作包括代码推送、代码合并或者代码调度中的任意一种。
8.一种依赖库风险检查装置,其特征在于,包括:
9.一种依赖库风险检查设备,其特征在于,所述依赖库风险检查设备包括处理器以及存储器;
10.一种存储计算机可执行指令的存储介质,其特征在于,所述计算机可执行指令在由计算机处理器执行时用于执行如权利要求1-7中任一项所述的一种依赖库风险检查方法。
...
【技术特征摘要】
1.一种依赖库风险检查方法,其特征在于,包括:
2.根据权利要求1所述的依赖库风险检查方法,其特征在于,所述根据所述哈希值、部门标识以及所述目标项目的项目名称,校验所述目标项目是否为新版本,包括:
3.根据权利要求1所述的依赖库风险检查方法,其特征在于,在所述调用第三方接口检查所述第三方库的安全风险后,还包括:
4.根据权利要求3所述的依赖库风险检查方法,其特征在于,还包括:
5.根据权利要求3所述的依赖库风险检查方法,其特征在于,还包括:
6.根据权利要求5所述的依赖库风险检查方法,其特征在于,所...
【专利技术属性】
技术研发人员:叶明亮,黄步云,李天鹏,黄峻峰,
申请(专利权)人:广州三七极耀网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。