CN110276171A - 第三方库文件安全评估方法、系统、装置及存储介质 - Google Patents

第三方库文件安全评估方法、系统、装置及存储介质 Download PDF

Info

Publication number
CN110276171A
CN110276171A CN201910498973.5A CN201910498973A CN110276171A CN 110276171 A CN110276171 A CN 110276171A CN 201910498973 A CN201910498973 A CN 201910498973A CN 110276171 A CN110276171 A CN 110276171A
Authority
CN
China
Prior art keywords
library file
party
loophole
party library
latest edition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201910498973.5A
Other languages
English (en)
Inventor
熊帅帅
万振华
王颉
李绪勤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Kaiyuan Internet Security Technology Co Ltd
Original Assignee
Shenzhen Kaiyuan Internet Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Kaiyuan Internet Security Technology Co Ltd filed Critical Shenzhen Kaiyuan Internet Security Technology Co Ltd
Priority to CN201910498973.5A priority Critical patent/CN110276171A/zh
Publication of CN110276171A publication Critical patent/CN110276171A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种第三方库文件安全评估方法,包括:获取第三方库文件的特征信息;自漏洞库获得所述第三方库文件对应的漏洞列表;根据所述漏洞列表中的漏洞数目和漏洞等级,评估所述第三方库文件的安全性。本发明同时公开了一种第三方库文件安全评估系统、装置以及计算机可读存储介质。本发明不需要安全人员和第三方工具的介入,普通开发人员即可进行第三方库文件的安全性评估,降低了安全性评估成本,提高了软件产品的安全性,同时还可以减小安全性评估的时间,缩短了软件开发周期。

Description

第三方库文件安全评估方法、系统、装置及存储介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种第三方库文件安全评估方法、系统、装置及计算机可读存储介质。
背景技术
当前应用软件和系统中大量引入了第三方库文件,第三方库文件中包含了大量的开源代码,而大量的开源代码给软件开发带来便利的同时,也带来了极大的不确定性。很多软件由于长期使用第三方库文件,大量的开源代码被引入到软件产品中,导致了持续的安全问题。而在程序开发设计阶段,开发者又经常忽略了第三方库文件的漏洞审查,甚至有些资源库直接被信手拈来使用。如果某个库文件存在漏洞,那么,大量使用了该库文件的软件程序都将面临安全威胁(如OpenSSL中出现的心脏滴血漏洞(Heartbleed)、GNU Bash出现的破壳漏洞(Shellshock)和Java中的反序列化漏洞(Deserialization))。
现阶段,主要通过以下两种方式对第三方库文件进行漏洞审查。方式一:通过安全人员人工对软件产品中运用的第三方库文件进行代码审查与开源漏洞分析;方式二:运用第三方工具,将第三方工具的代码嵌入到软件产品中进行风险监控,或者对软件产品进行代码扫描,识别并报告第三方库文件中存在的漏洞,提出修复建议。
通过安全人员人工进行漏洞审查时,耗费时间长,将大大延长软件的开发周期,增加开发成本和资金投入;而且,很多中小型软件开发团队缺乏安全人员的角色,经验有限的开发人员很难识别出第三方库文件中存在的漏洞。运用第三方工具进行漏洞审查时,由于第三方库工具中也有第三方库文件的引入,故第三方工具本身可能也存在安全风险;其次,第三方工具代码的嵌入可能会对软件本身的稳定性造成威胁,代码扫描也可能泄露软件产品的核心代码;再者,第三方工具的稳定性也是一个考验,几乎不可能百分之百识别出所有第三方库风险,对于第三方工具错误上报的漏洞和漏掉的漏洞,一般的开发人员很难识别;另外,不同的第三方工具对同一开源漏洞的危险等级标识往往存在差异,缺乏权威性。
发明内容
本发明的目的在于提供一种第三方库文件安全评估方法、系统、装置以及计算机可读存储介质,以使开发人员能够选择更安全的第三方库文件。
为实现上述目的,本发明提供了一种第三方库文件安全评估方法,包括:获取第三方库文件的特征信息;自漏洞库获得所述第三方库文件对应的漏洞列表;根据所述漏洞列表中的漏洞数目和漏洞等级,评估所述第三方库文件的安全性。
较佳地,所述漏洞库包括NVD和CNNVD;“自漏洞库获得所述第三方库文件对应的漏洞列表”具体为:分别自NVD获得所述第三方库文件对应的CVE漏洞列表和自CNNVD获得所述第三方库文件对应的CNNVD漏洞列表。
较佳地,所述特征信息包括文件名、版本号、发布时间及厂商。
较佳地,所述第三方库文件安全评估方法还包括:获取所述第三方库文件对应的最新版本库文件的发布时间;计算所述最新版本库文件的发布时间与当前时间的时间差;根据所述最新版本库文件的发布时间与所述当前时间的时间差,评估所述第三方库文件的安全性。
较佳地,所述第三方库文件安全评估方法还包括:获取所述第三方库文件的发布时间与所述第三方库文件对应的最新版本库文件的发布时间的时间差以及所述第三方库文件与所述最新版本库文件之间的版本数差距;根据所述第三方库文件与所述最新版本库文件之间的版本数差距以及所述第三方库文件的发布时间与所述最新版本库文件的发布时间的时间差,评估所述第三方库文件的安全性。
较佳地,所述第三方库文件安全评估方法还包括:获取所述第三方库文件对应的最新版本库文件的发布时间;计算所述最新版本库文件的发布时间与当前时间的时间差;根据所述最新版本库文件的发布时间与所述当前时间的时间差,评估所述第三方库文件的安全性。
较佳地,所述第三方库文件安全评估方法还包括:分别对所述漏洞数目、所述漏洞等级、所述最新版本库文件的发布时间与所述当前时间的时间差、所述第三方库文件与所述最新版本库文件之间的版本数差距以及所述第三方库文件的发布时间与所述最新版本库文件的发布时间的时间差赋予权值以评估所述第三方库文件的安全性。
为实现上述目的,本发明还提供了一种第三方库文件安全评估系统,包括信息获取模块、漏洞列表获取模块以及安全估算模块,所述信息获取模块用于用于获取第三方库文件的特征信息;所述漏洞列表获取模块用于自漏洞库获得所述第三方库文件对应的漏洞列表;所述安全估算模块用于根据所述漏洞列表中的漏洞数目和漏洞等级,评估所述第三方库文件的安全性。
为实现上述目的,本发明还提供了一种第三方库文件安全评估装置,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时,执行如上所述的第三方库文件安全评估方法。
为实现上述目的,本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序可被处理器执行以完成如上所述的第三方库文件安全评估方法。
与现有技术相比,本发明根据获取到的第三方库文件的特征信息自漏洞库第三方库文件对应的获得漏洞列表,然后根据漏洞列表中的漏洞数目和漏洞等级来实现第三方库文件的安全性评估,使得开发人员能够选择更安全的第三方库文件;而且,本发明不需要安全人员和第三方工具的介入,普通开发人员即可进行第三方库文件的安全性评估,降低了安全性评估成本,提高了软件产品的安全性,同时还可以减小安全性评估的时间,缩短了软件开发周期。此外,本发明是采用NVD和CNNVD两个漏洞库对第三方库文件的安全性进行评估,NVD和CNNVD均为业内权威的漏洞库,对NVD和CNNVD两个漏洞库的漏洞列表获取结果进行综合考虑,使得第三方库文件的安全性评估结果更加权威可靠。
附图说明
图1为本发明第三方库文件安全评估方法的一实施例的流程图。
图2为本发明第三方库文件安全评估系统的一实施例的结构框图。
图3为本发明第三方库文件安全评估装置的一实施例的结构框图。
具体实施方式
为了详细说明本发明的技术内容、构造特征,以下结合具体实施方式并配合附图作进一步说明。
请参阅图1,本发明第三方库文件安全评估方法包括以下步骤:
101,获取第三方库文件的特征信息;
102,自漏洞库获得第三方库文件对应的漏洞列表;
103,根据漏洞列表中的漏洞数目和漏洞等级,评估第三方库文件的安全性。
作为优选实施例,漏洞库包括NVD(National Vulnerability Database,美国国家漏洞库)和CNNVD(China National Vulnerability Database of Information Security,中国国家信息安全漏洞库);“自漏洞库获得第三方库文件对应的漏洞列表”具体为:分别自NVD获得第三方库文件对应的CVE(Common Vulnerabilities and Exposures,公共漏洞和暴露,是由NVD漏洞库提供的)漏洞列表和自CNNVD获得第三方库文件对应的CNNVD漏洞列表;“根据漏洞列表中的漏洞数目和漏洞等级,评估第三方库文件的安全性”具体为:根据CVE漏洞列表包含的漏洞数目和漏洞的CVSS(Common Vulnerability Scoring System,通用漏洞评分系统)评分以及CNNVD漏洞列表包含的漏洞数目和漏洞等级,评估第三方库文件的安全性。
作为优选实施例,特征信息包括文件名、版本号、发布时间及厂商。在步骤102中,可以根据文件名或根据文件名及版本号和厂商中的至少一者自NVD获得第三方库文件对应的CVE漏洞列表和自CNNVD获得第三方库文件对应的CNNVD漏洞列表。仅根据文件名进行漏洞列表获取时,将得到该文件名对应的一系列第三方库文件的漏洞列表(包括各个厂商和版本),再根据版本号和/或厂商进行筛选获得待评估的第三方库文件对应的CVE漏洞列表和CNNVD漏洞列表;与根据第三方库文件的文件名、版本号及厂商直接获得漏洞列表的方式相比,该方式有助于使用正确的版本号和厂商信息进行漏洞列表获取,可以提高获取结果的准确性。
作为优选实施例,第三方库文件安全评估方法还包括:获取第三方库文件对应的最新版本库文件的发布时间;计算最新版本库文件的发布时间与当前时间的时间差;根据最新版本库文件的发布时间与当前时间的时间差,评估第三方库文件的安全性。由于第三方库文件的版本更新情况与其维护运营状况紧密关联,若第三方库文件长期没有得到更新,则该第三方库文件可能处于无人维护的状态,将该第三方库文件应用至软件产品中可能会导致严重的安全性问题;因此,将最新版本库文件的发布时间与当前时间的时间差作为第三方库文件安全性评估的一个因素,可以大大提高安全性评估的可靠性。
作为优选实施例,第三方库文件安全评估方法还包括:获取第三方库文件的发布时间与该第三方库文件对应的最新版本库文件的发布时间的时间差以及第三方库文件与最新版本库文件之间的版本数差距;根据第三方库文件与最新版本库文件之间的版本数差距以及第三方库文件的发布时间与最新版本库文件的发布时间的时间差,评估第三方库文件的安全性。由于该第三方库文件与最新版本库文件的发布时间间隔越长和/或版本数差距越多时,该第三方库文件出现安全性问题的可能性越大,将该第三方库文件与最新版本库文件之间的版本数差距及该第三方库文件的发布时间与最新版本库文件的发布时间的时间差作为第三方库文件安全性评估的因素,可以大大提高安全性评估的可靠性。
作为优选实施例,分别对漏洞数目、漏洞等级、最新版本库文件的发布时间与当前时间的时间差、第三方库文件与最新版本库文件之间的版本数差距以及第三方库文件的发布时间与最新版本库文件的发布时间的时间差赋予权值以评估第三方库文件的安全性。根据软件产品的侧重点不同,对影响第三方库文件的安全性的各个因素分别赋予对应的权值,从而得到第三方库文件的安全性,以使得开发人员能够选择出更加安全的第三方库文件来进行软件产品开发。
作为优选实施例,漏洞数目包括CVE漏洞列表揭露的CVE漏洞的数目和CNNVD漏洞列表揭露的CNNVD漏洞的数目,漏洞等级指的是CVE漏洞的CVSS评分和CNNVD漏洞等级。
作为优选实施例,第三方库文件的安全性包括A等级、B等级、C等级、D等级及E等级,A等级、B等级、C等级、D等级、E等级的安全性依次降低;第三方库文件含有至少一CVE漏洞且CVSS评分不小于9.0或含有至少两CVE漏洞且CVSS评分不小于7.0或含有至少一CNNVD漏洞且CNNVD漏洞为超危漏洞或高危漏洞时,第三方库文件的安全性为E等级;第三方库文件含有CVE漏洞或CNNVD漏洞且不满足E等级时,第三方库文件的安全性为D等级;第三方库文件不含有CVE漏洞和CNNVD漏洞,且最新版本库文件的发布时间与当前时间的时间差不小于四年或第三方库文件的发布时间与最新版本库文件的发布时间的时间差不小于三年时,第三方库文件的安全性为C等级;第三方库文件不含有CVE漏洞和CNNVD漏洞,且最新版本库文件的发布时间与当前时间的时间差不大于两年且第三方库文件的发布时间与最新版本库文件的发布时间的时间差不大于一年且第三方库文件与最新版本库文件之间的版本数差距不大于6时,第三方库文件的安全性为A等级;第三方库文件不含有CVE漏洞和CNNVD漏洞且不满足A等级和C等级时,第三方库文件的安全性为B等级。
请参阅图2,本发明第三方库文件安全评估系统100包括信息获取模块10、漏洞列表获取模块20以及安全估算模块30;信息获取模块10用于获取第三方库文件的特征信息;漏洞列表获取模块20用于自漏洞库获得第三方库文件对应的漏洞列表;安全估算模块30用于根据漏洞列表中的漏洞数目和漏洞等级,评估第三方库文件的安全性。
作为优选实施例,漏洞库包括NVD和CNNVD;漏洞列表获取模块20自NVD获得第三方库文件对应的CVE漏洞列表和自CNNVD获得第三方库文件对应的CNNVD漏洞列表;安全估算模块30根据CVE漏洞列表包含的漏洞数目和漏洞的CVSS评分以及CNNVD漏洞列表包含的漏洞数目和漏洞等级,评估第三方库文件的安全性。
作为优选实施例,信息获取模块10还用于获取第三方库文件对应的最新版本库文件的发布时间与当前时间的时间差,安全估算模块30根据最新版本库文件的发布时间与当前时间的时间差、漏洞数目、漏洞等级评估第三方库文件的安全性。
作为优选实施例,信息获取模块10还用于获取第三方库文件的发布时间与第三方库文件对应的最新版本库文件的发布时间的时间差以及第三方库文件与最新版本库文件之间的版本数差距,安全估算模块30根据第三方库文件与最新版本库文件之间的版本数差距、第三方库文件的发布时间与最新版本库文件的发布时间的时间差、最新版本库文件的发布时间与当前时间的时间差、漏洞数目及漏洞等级,评估第三方库文件的安全性。
作为优选实施例,安全估算模块30在进行第三方库文件安全性评估时,分别对漏洞数目、漏洞等级、最新版本库文件的发布时间与当前时间的时间差、第三方库文件与最新版本库文件之间的版本数差距以及第三方库文件的发布时间与最新版本库文件的发布时间的时间差分别赋予不同的权值,以使得安全性评估结果更加贴合软件产品的情况。
作为优选实施例,漏洞数目包括CVE漏洞列表揭露的CVE漏洞的数目和CNNVD漏洞列表揭露的CNNVD漏洞的数目,漏洞等级指的是CVE漏洞的CVSS评分和CNNVD漏洞等级。
请参阅图3,本发明还提供了一种第三方库文件安全评估装置,包括处理器40、存储器50以及存储在存储器50中且被配置为由处理器40执行的计算机程序,处理器40执行计算机程序时,执行如上所述的第三方库文件安全评估方法。
与现有技术相比,本发明根据获取到的第三方库文件的特征信息自漏洞库第三方库文件对应的获得漏洞列表,然后根据漏洞列表中的漏洞数目和漏洞等级来实现第三方库文件的安全性评估,使得开发人员能够选择更安全的第三方库文件;而且,本发明不需要安全人员和第三方工具的介入,普通开发人员即可进行第三方库文件的安全性评估,降低了安全性评估成本,提高了软件产品的安全性,同时还可以减小安全性评估的时间,缩短了软件开发周期。此外,本发明是采用NVD和CNNVD两个漏洞库对第三方库文件的安全性进行评估,NVD和CNNVD均为业内权威的漏洞库,对NVD和CNNVD两个漏洞库的漏洞列表获取结果进行综合考虑,使得第三方库文件的安全性评估结果更加权威可靠。
以上结合最佳实施例对本发明进行了描述,但本发明并不局限于以上揭示的实施例,而应当涵盖各种根据本发明的本质进行的修改、等效组合。

Claims (10)

1.一种第三方库文件安全评估方法,其特征在于,包括:
获取第三方库文件的特征信息;
自漏洞库获得所述第三方库文件对应的漏洞列表;
根据所述漏洞列表中的漏洞数目和漏洞等级,评估所述第三方库文件的安全性。
2.如权利要求1所述的第三方库文件安全评估方法,其特征在于,所述漏洞库包括NVD和CNNVD;“自漏洞库获得所述第三方库文件对应的漏洞列表”具体为:分别自NVD获得所述第三方库文件对应的CVE漏洞列表和自CNNVD获得所述第三方库文件对应的CNNVD漏洞列表。
3.如权利要求1所述的第三方库文件安全评估方法,其特征在于,所述特征信息包括文件名、版本号、发布时间及厂商。
4.如权利要求1所述的第三方库文件安全评估方法,其特征在于,还包括:
获取所述第三方库文件对应的最新版本库文件的发布时间;
计算所述最新版本库文件的发布时间与当前时间的时间差;
根据所述最新版本库文件的发布时间与所述当前时间的时间差,评估所述第三方库文件的安全性。
5.如权利要求1所述的第三方库文件安全评估方法,其特征在于,还包括:
获取所述第三方库文件的发布时间与所述第三方库文件对应的最新版本库文件的发布时间的时间差以及所述第三方库文件与所述最新版本库文件之间的版本数差距;
根据所述第三方库文件与所述最新版本库文件之间的版本数差距以及所述第三方库文件的发布时间与所述最新版本库文件的发布时间的时间差,评估所述第三方库文件的安全性。
6.如权利要求5所述的第三方库文件安全评估方法,其特征在于,还包括:
获取所述第三方库文件对应的最新版本库文件的发布时间;
计算所述最新版本库文件的发布时间与当前时间的时间差;
根据所述最新版本库文件的发布时间与所述当前时间的时间差,评估所述第三方库文件的安全性。
7.如权利要求6所述的第三方库文件安全评估方法,其特征在于,还包括:
分别对所述漏洞数目、所述漏洞等级、所述最新版本库文件的发布时间与所述当前时间的时间差、所述第三方库文件与所述最新版本库文件之间的版本数差距以及所述第三方库文件的发布时间与所述最新版本库文件的发布时间的时间差赋予权值以评估所述第三方库文件的安全性。
8.一种第三方库文件安全评估系统,其特征在于,包括:
信息获取模块,用于获取第三方库文件的特征信息;
漏洞列表获取模块,用于自漏洞库获得所述第三方库文件对应的漏洞列表;以及
安全估算模块,用于根据所述漏洞列表中的漏洞数目和漏洞等级,评估所述第三方库文件的安全性。
9.一种第三方库文件安全评估装置,其特征在于,包括:
处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时,执行如权利要求1至7任一项所述的第三方库文件安全评估方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序可被处理器执行以完成如权利要求1至7任一项所述的第三方库文件安全评估方法。
CN201910498973.5A 2019-06-10 2019-06-10 第三方库文件安全评估方法、系统、装置及存储介质 Pending CN110276171A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910498973.5A CN110276171A (zh) 2019-06-10 2019-06-10 第三方库文件安全评估方法、系统、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910498973.5A CN110276171A (zh) 2019-06-10 2019-06-10 第三方库文件安全评估方法、系统、装置及存储介质

Publications (1)

Publication Number Publication Date
CN110276171A true CN110276171A (zh) 2019-09-24

Family

ID=67960593

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910498973.5A Pending CN110276171A (zh) 2019-06-10 2019-06-10 第三方库文件安全评估方法、系统、装置及存储介质

Country Status (1)

Country Link
CN (1) CN110276171A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111046386A (zh) * 2019-12-05 2020-04-21 深圳开源互联网安全技术有限公司 动态检测程序第三方库并进行安全评估的方法及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102710642A (zh) * 2012-06-01 2012-10-03 北京神州绿盟信息安全科技股份有限公司 系统漏洞扫描方法及设备
CN106446691A (zh) * 2016-11-24 2017-02-22 工业和信息化部电信研究院 检测软件中集成或定制的开源项目漏洞的方法和装置
CN107844705A (zh) * 2017-11-14 2018-03-27 苏州棱镜七彩信息科技有限公司 基于二进制代码特征的第三方组件漏洞检测方法
CN108595960A (zh) * 2018-04-11 2018-09-28 郑州云海信息技术有限公司 一种基于第三方软件存在漏洞的检测方法及系统
CN109753807A (zh) * 2019-01-09 2019-05-14 国家保密科技测评中心 安全检测方法和装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102710642A (zh) * 2012-06-01 2012-10-03 北京神州绿盟信息安全科技股份有限公司 系统漏洞扫描方法及设备
CN106446691A (zh) * 2016-11-24 2017-02-22 工业和信息化部电信研究院 检测软件中集成或定制的开源项目漏洞的方法和装置
CN107844705A (zh) * 2017-11-14 2018-03-27 苏州棱镜七彩信息科技有限公司 基于二进制代码特征的第三方组件漏洞检测方法
CN108595960A (zh) * 2018-04-11 2018-09-28 郑州云海信息技术有限公司 一种基于第三方软件存在漏洞的检测方法及系统
CN109753807A (zh) * 2019-01-09 2019-05-14 国家保密科技测评中心 安全检测方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
胡浩等: "面向漏洞生命周期的安全风险度量方法", 《JOURNAL OF SOFTWARE 软件学报》 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111046386A (zh) * 2019-12-05 2020-04-21 深圳开源互联网安全技术有限公司 动态检测程序第三方库并进行安全评估的方法及系统

Similar Documents

Publication Publication Date Title
CA2777434C (en) Verifying application security vulnerabilities
US8397104B2 (en) Creation of test plans
Walden et al. Savi: Static-analysis vulnerability indicator
JPWO2006087780A1 (ja) 脆弱性監査プログラム、脆弱性監査装置、脆弱性監査方法
US10657028B2 (en) Method for replicating production behaviours in a development environment
WO2004086180A2 (en) Auditing system and method
Doyle et al. An empirical study of the evolution of PHP web application security
CN111752833B (zh) 一种软件质量体系准出方法、装置、服务器及存储介质
CN110032505A (zh) 软件质量确定装置、软件质量确定方法和软件质量确定程序
Bach et al. Coverage-based reduction of test execution time: Lessons from a very large industrial project
CN107273298B (zh) 一种加壳工具的测试方法、装置及系统
Jiang et al. Tracing back the history of commits in low-tech reviewing environments: a case study of the linux kernel
CN110276171A (zh) 第三方库文件安全评估方法、系统、装置及存储介质
Charest et al. Comparison of static analysis tools for Java using the Juliet test suite
US20140215440A1 (en) Marked test script creation
Paul End-to-end integration testing
CN107402883B (zh) 一种数据测试处理方法和装置
Gilliam et al. Addressing software security and mitigations in the life cycle
Seehusen A technique for risk-based test procedure identification, prioritization and selection
EP3812940B1 (en) Vulnerability analyzer
CN111858307B (zh) 模糊测试方法和设备
CN108073817A (zh) 一种基于主动构造的离线堆溢出漏洞挖掘方法
Fögen et al. A Case Study on Robustness Fault Characteristics for Combinatorial Testing-Results and Challenges.
Shen et al. Using traceability links to identifying potentially erroneous artifacts during regulatory reviews
AU2007323898B2 (en) Automated logistics support system incorporating a product integrity analysis system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20190924