【技术实现步骤摘要】
本申请实施例涉及软件工程,尤其涉及一种多源软件供应链智能分析方法及系统。
技术介绍
1、随着开源组件和第三方库的广泛使用,软件系统的复杂性急剧增加,依赖关系链变得错综复杂。开发者和企业需要一种智能分析方法,能够解析用户提交的软件组件标识信息,并从中提取出属性特征,以准确定位软件组件间的节点路径,生成包含直接和间接依赖关系链的加权依赖关系链列表。
2、当前,软件供应链风险管理主要依赖于静态代码分析、漏洞扫描和依赖管理工具。这些工具通过扫描源代码和依赖库来检测已知漏洞和不安全的依赖关系。一些高级工具还结合了机器学习算法,用于识别异常行为和潜在威胁。
3、现有软件供应链风险评估方案存在多个显著缺陷。首先,传统的静态分析和漏洞扫描工具只能识别已知漏洞,对于新型攻击和未知威胁无能为力。其次,这些工具往往忽略了依赖关系链中的间接依赖,导致风险评估不够全面和准确。再者,现有方案大多基于预定义规则计算风险评分,缺乏灵活性和自适应能力,无法根据实际情况动态调整权重和评估标准。最后,现有的可视化工具和风险缓解措施较为简单,难以直观展...
【技术保护点】
1.一种多源软件供应链智能分析方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述采用贝叶斯网络模型结合预先定义的风险指标体系,计算所述加权依赖关系链列表中的依赖关系链的风险评分,包括:
3.根据权利要求1所述的方法,其特征在于,所述利用异常检测算法识别潜在的供应链威胁点,以生成包含整体风险分值和所述供应链威胁点的风险报告,包括:
4.根据权利要求2所述的方法,其特征在于,所述利用已分配多维度加权初始风险分值的依赖关系链,将贝叶斯网络中的父节点风险概率作为梯度提升决策树的特征输入,通过特征工程提取组件依赖深度、跨...
【技术特征摘要】
1.一种多源软件供应链智能分析方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述采用贝叶斯网络模型结合预先定义的风险指标体系,计算所述加权依赖关系链列表中的依赖关系链的风险评分,包括:
3.根据权利要求1所述的方法,其特征在于,所述利用异常检测算法识别潜在的供应链威胁点,以生成包含整体风险分值和所述供应链威胁点的风险报告,包括:
4.根据权利要求2所述的方法,其特征在于,所述利用已分配多维度加权初始风险分值的依赖关系链,将贝叶斯网络中的父节点风险概率作为梯度提升决策树的特征输入,通过特征工程提取组件依赖深度、跨生态调用关系和许可证冲突类型作为附加特征,采用贪心算法优化决策树分裂节点时的条件概率收敛方向,得到优化条件概率,包括:
5.根据权利要求3所述的方法,其特征在于,所述基于所述整体风险分值,采用孤立森林算法对依赖关系链的拓扑特征向量进行无监督聚类,结合历史攻击样本库中记录的供应链攻击模式特征,使用基于滑动窗口的动态...
【专利技术属性】
技术研发人员:朱文宇,何召阳,李博,马少伦,
申请(专利权)人:华清未央北京科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。