一种漏洞风险可达性分析的方法、电子设备及存储介质技术

本发明专利技术涉及数据分析技术领域，尤其涉及一种漏洞风险可达性分析的方法、电子设备及存储介质，通过对目标代码进行漏洞扫描分析，获取漏洞的初始风险评价值，并结合路径可达性分析值和条件可达性分析值确定可达性分析权重，最终得到目标风险评价，充分考虑了漏洞被利用的实际可能性，相较于传统仅基于固有危害的风险评估，能更精准地反映漏洞的真实风险程度，为安全决策提供更可靠依据，目标风险评价值能够为资源分配提供参考，便于在漏洞修复过程中优先处理高风险漏洞，避免盲目修复漏洞，极大地提高了漏洞管理的效率。

【技术实现步骤摘要】

本专利技术涉及数据分析，特别是涉及一种漏洞风险可达性分析的方法、电子设备及存储介质。

技术介绍

1、在当今数字化时代，随着各类软件系统的广泛应用和网络技术的飞速发展，软件安全问题日益凸显。软件开发过程中，为实现丰富功能，往往依赖众多组件，而这些组件可能存在漏洞，这给软件系统带来了潜在的安全威胁。因此，对软件进行漏洞检测与风险评估成为保障软件安全的关键环节。

2、目前，常见的漏洞检测技术如软件成分分析技术，虽能识别和清点软件中的开源组件依赖关系，进而发现潜藏在依赖中的安全漏洞，但存在明显缺陷。在代码量较大的场景下，会检测出的大量代码漏洞，然而所检测出的漏洞中多数实际上是不可达的。其原因主要在于，检测出存在已知漏洞的依赖组件，在软件实际运行过程中未必会被加载，即便存在已知漏洞的依赖组件会被加载，软件也可能不会执行到其中漏洞所在的代码位置，或者实际运行时不会调用相应的漏洞函数，即便软件能够执行到依赖组件中的漏洞所在代码位置，或者漏洞函数会被调用，可触发漏洞的有害参数也未必能传入漏洞所在的代码位置。

3、而大量不可达漏洞会导致编程人员难以确本文档来自技高网...

【技术保护点】

1.一种漏洞风险可达性分析的方法，其特征在于，所述方法包括如下步骤：

2.根据权利要求1所述的漏洞风险可达性分析的方法，其特征在于，S3包括如下步骤：

3.根据权利要求2所述的漏洞风险可达性分析的方法，其特征在于，所述安全防护信息至少包括输入过滤规则。

4.根据权利要求3所述的漏洞风险可达性分析的方法，其特征在于，S32包括如下步骤：

5.根据权利要求4所述的漏洞风险可达性分析的方法，其特征在于，S328包括如下步骤：

6.根据权利要求1所述的漏洞风险可达性分析的方法，其特征在于，S4包括如下步骤：

<p>7.根据权利要求...

【技术特征摘要】

1.一种漏洞风险可达性分析的方法，其特征在于，所述方法包括如下步骤：

2.根据权利要求1所述的漏洞风险可达性分析的方法，其特征在于，s3包括如下步骤：

3.根据权利要求2所述的漏洞风险可达性分析的方法，其特征在于，所述安全防护信息至少包括输入过滤规则。

4.根据权利要求3所述的漏洞风险可达性分析的方法，其特征在于，s32包括如下步骤：

5.根据权利要求4所述的漏洞风险可达性分析的方法，其特征在于，s328包括如下步骤：

6.根据权利要求1所述的漏洞风险可达性分析的方法，其特征在于，s4...

【专利技术属性】
技术研发人员：黄瑛，方芳，徐俊，左志平，
申请(专利权)人：清科万道北京信息技术有限公司，
类型：发明
国别省市：