CN110866225A - 风险控制方法、装置、电子设备及存储介质 - Google Patents
风险控制方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN110866225A CN110866225A CN201911103183.9A CN201911103183A CN110866225A CN 110866225 A CN110866225 A CN 110866225A CN 201911103183 A CN201911103183 A CN 201911103183A CN 110866225 A CN110866225 A CN 110866225A
- Authority
- CN
- China
- Prior art keywords
- software
- software module
- blacklist
- module
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 90
- 238000012954 risk control Methods 0.000 title claims abstract description 87
- 230000010354 integration Effects 0.000 claims abstract description 50
- 230000008569 process Effects 0.000 claims abstract description 35
- 238000012545 processing Methods 0.000 claims abstract description 35
- 230000004044 response Effects 0.000 claims abstract description 16
- 239000000126 substance Substances 0.000 claims 1
- 230000006870 function Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 9
- 230000001419 dependent effect Effects 0.000 description 8
- 230000001960 triggered effect Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 4
- 238000011835 investigation Methods 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 230000002411 adverse Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000010924 continuous production Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000001737 promoting effect Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Stored Programmes (AREA)
Abstract
本公开实施例公开了一种风险控制方法、装置、电子设备及存储介质。该方法包括:响应于预设集成事件,确定软件系统所依赖的软件模块;确定所述软件模块是否与预设的黑名单列表中的黑名单成员相匹配;在所述软件模块与所述黑名单列表中的黑名单成员相匹配时,触发预设的风险控制处理流程。通过本公开实施例,可以在软件系统进行集成时,自动获取软件系统所依赖的软件模块,并基于预先设置好的黑名单列表准确找出存在风险的软件模块,以便针对存在风险的软件模型执行预设的风险控制流程,能够大大提高软件系统的风险控制效率以及准确度。
Description
技术领域
本公开涉及计算机技术领域,具体涉及一种风险控制方法、装置、电子设备及存储介质。
背景技术
软件系统的开发过程中,软件系统中的功能可以通过模块化的方式来实现,也即软件系统的功能可以被划分成多个部分,每个部分可以通过单独的软件模块来实现。在一些场景下,一些软件模块甚至可以是第三方开发的,可以通过调用第三方软件模块实现软件系统相应的功能。但是,第三方软件模块可能只提供二进制包,因此会导致软件系统的开发者不知道该软件模块的代码实现,比如该软件模块中嵌入了用于收集用户信息和机密数据等的代码,会给软件系统带来极大的风险。因此,在软件模块存在风险和隐患的前提下,如何快速而高效地实现对软件系统的风险控制是目前软件开发需要解决的问题之一。
发明内容
本公开实施例提供一种风险控制方法、装置、电子设备及存储介质。
第一方面,本公开实施例中提供了一种风险控制方法。
具体的,所述风险控制方法,包括:
响应于预设集成事件,确定软件系统所依赖的软件模块;
确定所述软件模块是否与预设的黑名单列表中的黑名单成员相匹配;
在所述软件模块与所述黑名单列表中的黑名单成员相匹配时,触发预设的风险控制处理流程。
结合第一方面,本公开在第一方面的第一种实现方式中,还包括:
从第一用户接收所述软件模块为风险模块的上报信息;
根据所述上报信息确定所述软件模块的风险等级,并将所述软件模块作为所述黑名单成员而加入所述黑名单列表中。
结合第一方面和/或第一方面的第一种实现方式,本公开在第一方面的第二种实现方式中,触发预设的风险控制处理流程,包括:
根据所述软件模块的风险等级触发预设的风险控制处理流程。
结合第一方面、第一方面的第一种实现方式和/或第一方面的第二种实现方式,本公开在第一方面的第三种实现方式中,根据所述软件模块的风险等级触发预设的风险控制处理流程,包括以下至少之一:
在所述软件模块的风险等级为预设的高风险等级时,终止所述软件系统的软件集成流程以及向所述软件模块的负责方发送第一警告信息;
在所述软件模块的风险等级为预设的低风险等级时,向所述软件模块的负责方发送第二警告信息。
结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式和/或第一方面的第三种实现方式,本公开在第一方面的第四种实现方式中,还包括以下至少之一:
响应于初始集成所述软件系统的事件,产生所述预设集成事件;
响应于所述软件系统的更新事件,产生所述预设集成事件。
结合第一方面、第一方面的第一种实现方式、第一方面的第二种实现方式、第一方面的第三种实现方式和/或第一方面的第四种实现方式,本公开在第一方面的第五种实现方式中,所述黑名单列表还包括白名单成员;所述方法还包括:
在所述软件模块与所述黑名单列表中的黑名单成员和白名单成员均不匹配时,向第二用户发送检查所述软件模块是否存在风险的提示信息。
第二方面,本公开实施例中提供了一种风险控制装置。
具体的,所述风险控制装置,包括:
第一确定模块,被配置为响应于预设集成事件,确定软件系统所依赖的软件模块;
第二确定模块,被配置为确定所述软件模块是否与预设的黑名单列表中的黑名单成员相匹配;
触发模块,被配置为在所述软件模块与所述黑名单列表中的黑名单成员相匹配时,触发预设的风险控制处理流程。
结合第二方面,本公开在第二方面的第一种实现方式中,还包括:
接收模块,被配置为从第一用户接收所述软件模块为风险模块的上报信息;
第三确定模块,被配置为根据所述上报信息确定所述软件模块的风险等级,并将所述软件模块作为所述黑名单成员而加入所述黑名单列表中。
结合第二方面和/或第二方面的第一种实现方式,本公开在第二方面的第二种实现方式中,所述触发模块,包括:
触发子模块,被配置为根据所述软件模块的风险等级触发预设的风险控制处理流程。
结合第二方面、第二方面的第一种实现方式和/或第二方面的第二种实现方式,本公开在第二方面的第三种实现方式中,所述触发子模块,包括以下至少之一:
终止子模块,被配置为在所述软件模块的风险等级为预设的高风险等级时,终止所述软件系统的软件集成流程以及向所述软件模块的负责方发送第一警告信息;
发送子模块,被配置为在所述软件模块的风险等级为预设的低风险等级时,向所述软件模块的负责方发送第二警告信息。
结合第二方面、第二方面的第一种实现方式、第二方面的第二种实现方式和/或第二方面的第三种实现方式,本公开在第二方面的第四种实现方式中,还包括以下至少之一:
第一产生模块,被配置为响应于初始集成所述软件系统的事件,产生所述预设集成事件;
第二产生模块,被配置为响应于所述软件系统的更新事件,产生所述预设集成事件。
结合第二方面、第二方面的第一种实现方式、第二方面的第二种实现方式、第二方面的第三种实现方式和/或第二方面的第四种实现方式,本公开在第二方面的第五种实现方式中,所述黑名单列表还包括白名单成员;所述装置还包括:
发送模块,被配置为在所述软件模块与所述黑名单列表中的黑名单成员和白名单成员均不匹配时,向第二用户发送检查所述软件模块是否存在风险的提示信息。
所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在一个可能的设计中,风险控制装置的结构中包括存储器和处理器,所述存储器用于存储一条或多条支持风险控制装置执行上述第一方面中风险控制方法的计算机指令,所述处理器被配置为用于执行所述存储器中存储的计算机指令。所述风险控制装置还可以包括通信接口,用于风险控制装置与其他设备或通信网络通信。
第三方面,本公开实施例提供了一种电子设备,包括存储器和至少一个处理器;其中,所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述至少一个处理器执行以实现上述任一方法。
第四方面,本公开实施例提供了一种计算机可读存储介质,用于存储风险控制装置所用的计算机指令,其包含用于执行上述任一方法所涉及的计算机指令。
本公开实施例提供的技术方案可以包括以下有益效果:
本公开实施例可以预先维护一黑名单列表,用于记录已知存在风险的软件模块,在软件系统进行软件模块的集成时,首先确定该软件系统所依赖的软件模块,之后再将所依赖的软件模块与黑名单列表进行匹配,如果软件系统所依赖的软件模块中存在与黑名单列表中的黑名单成员相匹配的软件模块,则针对该软件模块执行预设的风险控制处理流程。通过本公开实施例,可以在软件系统进行集成时,自动获取软件系统所依赖的软件模块,并基于预先设置好的黑名单列表准确找出存在风险的软件模块,以便针对存在风险的软件模型执行预设的风险控制流程,能够大大提高软件系统的风险控制效率以及准确度。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
结合附图,通过以下非限制性实施方式的详细描述,本公开的其它特征、目的和优点将变得更加明显。在附图中:
图1示出根据本公开一实施方式的风险控制方法的流程图;
图2示出根据图1所示实施方式中预设黑名单列表部分的流程图;
图3示出根据本公开一实施方式的风险控制装置的结构框图;
图4示出根据图3所示实施方式中预设黑名单列表部分的结构框图;
图5是适于用来实现根据本公开一实施方式的风险控制方法的电子设备的结构示意图。
具体实施方式
下文中,将参考附图详细描述本公开的示例性实施方式,以使本领域技术人员可容易地实现它们。此外,为了清楚起见,在附图中省略了与描述示例性实施方式无关的部分。
在本公开中,应理解,诸如“包括”或“具有”等的术语旨在指示本说明书中所公开的特征、数字、步骤、行为、部件、部分或其组合的存在,并且不欲排除一个或多个其他特征、数字、步骤、行为、部件、部分或其组合存在或被添加的可能性。
另外还需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
图1示出根据本公开一实施方式的风险控制方法的流程图。如图1所示,所述风险控制方法包括以下步骤:
在步骤S101中,响应于软件集成事件,确定软件系统所依赖的软件模块;
在步骤S102中,确定所述软件模块是否与预设的黑名单列表中的黑名单成员相匹配;
在步骤S103中,在所述软件模块与所述黑名单列表中的黑名单成员相匹配时,触发预设的风险控制处理流程。
相关技术中,在软件系统的开发过程中,通常靠人工上报软件系统所依赖的软件模块,相关部门根据上报结果排查各个软件模块,然后推进软件开发者对存在风险的软件模块进行整改,具体的流程如下:
软件系统的开发者通过表格的形式上报软件系统所依赖的所有软件模块;相关部门根据上报表格排查各个软件模块,并标记存在风险的软件模块,然后通知相应人员推进软件开发者对风险模块进行整改。
但是这种方式存在一些缺陷,例如软件开发者上报有误;整改流程和周期较长导致成本较大,因此软件开发者存在侥幸心理而不上报;整改完成后,软件系统又接入了其他风险模块,需要相关部门持续跟进,定期重复该流程,人力成本较大,当前整改流程与下次整改之间的间隙存在接入新的风险模块的风险。
因此,本公开实施例提出了一种风险控制方法,通过该方法,可以预先维护一黑名单列表,用于记录已知存在风险的软件模块,在软件系统进行软件模块的集成时,首先确定该软件系统所依赖的软件模块,之后再将所依赖的软件模块与黑名单列表进行匹配,如果软件系统所依赖的软件模块中存在与黑名单列表中的黑名单成员相匹配的软件模块,则针对该软件模块执行预设的风险控制处理流程。通过本公开实施例,可以在软件系统进行集成时,自动获取软件系统所依赖的软件模块,并基于预先设置好的黑名单列表准确找出存在风险的软件模块,以便针对存在风险的软件模型执行预设的风险控制流程,能够大大提高软件系统的风险控制效率以及准确度。
本实施例中,预设集成事件可以预先设置,在符合对软件系统进行风险控制的条件时自动触发并产生该预设集成事件,例如,软件系统在最初进行集成(也即将构成该软件系统的各个软件模块集成在一起形成完整的软件系统代码的过程)时触发该预设集成事件等。
软件系统所依赖的软件模块可以通过自动化分析软件系统所涉及的软件代码来确定,例如可以通过分析该软件系统的主程序所调用的软件模块,以及这些软件模块中调用的其他软件模块等来确定软件系统所依赖的软件模块;还可以通过分析软件系统在集成时,所要集成的软件代码和/或二进制包所在的文件目录下的相关文件来确定软件系统所依赖的软件模块,比如,iOS系统下的软件开发可以通过分析工程目录下的Podfile.lock文件来确定软件系统所依赖的软件模块,前端开发可以分析工程目录下的package-lock.json文件来确定软件系统所依赖的软件模块。可以理解的是,软件系统所依赖的软件模块包括直接依赖的软件模块和间接依赖的软件模块,直接依赖的软件模块可以包括但不限于软件系统的开发者所开发的软件代码中所调用的软件模块,间接依赖的软件模块可以包括但不限于被直接依赖的软件模块所依赖的软件模块,也即被直接依赖的软件模块中调用的其他软件模块。
黑名单列表中可以包括但不限于黑名单成员,黑名单成员为已知的存在风险的软件模块的标识等,可以理解的是,黑名单列表中还可以包括存在风险的软件模块的其他信息,例如风险等级等。黑名单列表中的黑名单成员可以通过相关人员的排查结果来确定。例如,在出现一个新的软件模块时,可以由相关人员对该新的软件模块进行排查,如果根据排查结果确定该新的软件模块中存在风险,则可以将该软件模块作为黑名单成员加入黑名单列表中。
当前的软件系统所依赖的任一软件模块与黑名单列表中的黑名单成员相匹配时,则可以触发预设的风险控制处理流程,并且该风险控制处理流程可以针对该相匹配的软件模块执行一些预设的风险控制措施,例如向该软件模块的负责方发送警告信息,或者停止软件系统的本次集成过程,并推进该软件模块的负责方对该软件模块进行整改等。预设的风险控制处理流程可以根据实际情况设定,在此不做具体限制。
在本实施例的一个可选实现方式中,如图2所示,所述方法还包括:
在步骤S201中,从第一用户接收所述软件模块为风险模块的上报信息;
在步骤S202中,根据所述上报信息确定所述软件模块的风险等级,并将所述软件模块作为所述黑名单成员而加入所述黑名单列表中。
该可行的实现方式中,用户可以是对软件模块具有风险排查权限的相关人员,用户如果通过分析该软件模块发现其存在风险,例如该软件模块中嵌入有获取机密信息的代码等,则可以上报该软件模块为风险模块,并且还可以提供相关的风险信息,例如风险原因描述等。在接收到软件模块为风险模块的上报信息之后,本公开实施例可以根据上报信息确定该软件模块的风险等级,并将该软件模块加入作为黑名单成员加入到黑名单类别中。软件模块存在风险时,其风险等级可以根据其存在风险的原因进行划分,具体划分方式可以根据实际情况而定,预设的风险控制处理流程也可以根据风险等级的不同而不同。本公开实施例,可以基于预先设置好的黑名单列表准确找出存在风险的软件模块,以便针对存在风险的软件模型执行预设的风险控制流程,能够大大提高软件系统的风险控制效率以及准确度。
在本实施例的一个可选实现方式中,所述步骤S103,即触发预设的风险控制处理流程的步骤,进一步包括以下步骤:
根据所述软件模块的风险等级触发预设的风险控制处理流程。
该可选的实现方式中,黑名单列表中的黑名单成员还可以对应有风险等级,风险等级用于表征黑名单成员所能造成的后果的严重性。风险等级可以在黑名单成员加入黑名单列表的时候确定。风险等级不同,对应的风险控制处理流程也可以不同,例如对于风险等级较高的软件模块,可以采取停止软件系统集成,并督促该软件模块的负责方对该软件模块进行整改的措施,而对于风险较低的软件模块,可以继续执行软件系统的集成,但是对该软件模块的负责方提出警告和/或惩罚措施等。通过本公开实施例,可以在软件系统进行集成时,自动获取软件系统所依赖的软件模块,并基于预先设置好的黑名单列表准确找出存在风险的软件模块,以便针对存在风险的软件模型执行预设的风险控制流程,能够大大提高软件系统的风险控制效率以及准确度。
在本实施例的一个可选实现方式中,所述根据所述软件模块的风险等级触发预设的风险控制处理流程的步骤,进一步包括以下步骤之一:
在所述软件模块的风险等级为预设的高风险等级时,终止所述软件系统的软件集成流程以及向所述软件模块的负责方发送第一警告信息;
在所述软件模块的风险等级为预设的低风险等级时,向所述软件模块的负责方发送第二警告信息。
该可选的实现方式中,高风险等级的软件模块的风险大于低风险等级的软件模块的风险。高风险等级的软件模块可能会造成严重的后果,例如软件模块中存在窃取机密信息的代码时,在软件系统集成完成之后,运行软件系统的过程中可能会被第三方窃取重要的机密信息,造成相关方的极大损失;因此,在发现软件系统依赖这类高风险等级的软件模块时,可以终止软件系统的本次集成过程,并向软件模块的负责方发送第一警告信息,督促其对该软件模块进行整改,以便在整改完成后再进行软件系统的集成。低风险等级的软件模块可能会造成一些不好的后果,例如与终止软件系统的集成所造成的损失相比,该软件模块所带来的后果可以忽略时,则可以继续集成软件系统,同时向该软件模块的负责方发送第二警告信息,以便告知该负责方软件模块存在风险的原因等。通过本公开实施例,可以在软件系统进行集成时,自动获取软件系统所依赖的软件模块,并基于预先设置好的黑名单列表准确找出存在风险的软件模块,以便针对存在风险的软件模型执行预设的风险控制流程,能够大大提高软件系统的风险控制效率以及准确度。
在本实施例的一个可选实现方式中,所述方法还包括以下步骤中的至少之一:
响应于初始集成所述软件系统的事件,产生所述预设集成事件;
响应于所述软件系统的更新事件,产生所述预设集成事件。
该可选的实现方式中,在软件系统最初要进行集成时,可以产生预设集成事件,以便在对软件系统集成之前,根据黑名单列表确定该软件系统所依赖的软件模块是否存在风险,如果存在风险则执行预设风险控制流程。此外,由于软件系统的集成是一个持续的过程,在软件系统集成之后,如果因为软件系统的功能需要改变或其他原因而导致需要更新软件系统,例如接入新的软件模块时,也可以产生预设集成事件,以便能够针对更新后的软件系统重新确定其所依赖的软件模块是否存在风险的处理流程。通过这种方式,可以持续跟踪软件系统的持续集成过程,避免了软件系统接入新的风险软件模块的情况发生。
在本实施例的一个可选实现方式中,所述黑名单列表中还包括白名单成员;所述方法还包括以下步骤:
在所述软件模块与所述黑名单列表中的黑名单成员和白名单成员均不匹配时,向第二用户发送检查所述软件模块是否存在风险的提示信息。
该可选的实现方式中,为了避免黑名单列表中的黑名单成员覆盖面不够广而遗漏存在风险的软件模块,则黑名单列表中还可以包括白名单成员,白名单成员为已知不存在风险的软件模块。对于软件系统所依赖的所有软件模块,如果该软件模块与黑名单列表中的黑名单成员和白名单成员均不匹配,则说明该软件模块为风险未知的模块,因此可以向第二用户发送提示信息,以便第二用户能够对该软件模块进行排查,以确定该软件模块中是否存在风险,该第二用户可以是预设的风控人员。通过这种方式在黑名单列表覆盖不够全面而存在遗漏时,也能够及时发现软件系统中的风险模块。
下述为本公开装置实施例,可以用于执行本公开方法实施例。
图3示出根据本公开一实施方式的风险控制装置的结构框图,该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。如图3所示,所述风险控制装置包括:
第一确定模块301,被配置为响应于预设集成事件,确定软件系统所依赖的软件模块;
第二确定模块302,被配置为确定所述软件模块是否与预设的黑名单列表中的黑名单成员相匹配;
触发模块303,被配置为在所述软件模块与所述黑名单列表中的黑名单成员相匹配时,触发预设的风险控制处理流程。
相关技术中,在软件系统的开发过程中,通常靠人工上报软件系统所依赖的软件模块,相关部门根据上报结果排查各个软件模块,然后推进软件开发者对存在风险的软件模块进行整改,具体的流程如下:
软件系统的开发者通过表格的形式上报软件系统所依赖的所有软件模块;相关部门根据上报表格排查各个软件模块,并标记存在风险的软件模块,然后通知相应人员推进软件开发者对风险模块进行整改。
但是这种方式存在一些缺陷,例如软件开发者上报有误;整改流程和周期较长导致成本较大,因此软件开发者存在侥幸心理而不上报;整改完成后,软件系统又接入了其他风险模块,需要相关部门持续跟进,定期重复该流程,人力成本较大,当前整改流程与下次整改之间的间隙存在接入新的风险模块的风险。
因此,本公开实施例提出了一种风险控制装置,通过该装置,可以预先维护一黑名单列表,用于记录已知存在风险的软件模块,在软件系统进行软件模块的集成时,首先确定该软件系统所依赖的软件模块,之后再将所依赖的软件模块与黑名单列表进行匹配,如果软件系统所依赖的软件模块中存在与黑名单列表中的黑名单成员相匹配的软件模块,则针对该软件模块执行预设的风险控制处理流程。通过本公开实施例,可以在软件系统进行集成时,自动获取软件系统所依赖的软件模块,并基于预先设置好的黑名单列表准确找出存在风险的软件模块,以便针对存在风险的软件模型执行预设的风险控制流程,能够大大提高软件系统的风险控制效率以及准确度。
本实施例中,预设集成事件可以预先设置,在符合对软件系统进行风险控制的条件时自动触发并产生该预设集成事件,例如,软件系统在最初进行集成(也即将构成该软件系统的各个软件模块集成在一起形成完整的软件系统代码的过程)时触发该预设集成事件等。
软件系统所依赖的软件模块可以通过自动化分析软件系统所涉及的软件代码来确定,例如可以通过分析该软件系统的主程序所调用的软件模块,以及这些软件模块中调用的其他软件模块等来确定软件系统所依赖的软件模块;还可以通过分析软件系统在集成时,所要集成的软件代码和/或二进制包所在的文件目录下的相关文件来确定软件系统所依赖的软件模块,比如,iOS系统下的软件开发可以通过分析工程目录下的Podfile.lock文件来确定软件系统所依赖的软件模块,前端开发可以分析工程目录下的package-lock.json文件来确定软件系统所依赖的软件模块。可以理解的是,软件系统所依赖的软件模块包括直接依赖的软件模块和间接依赖的软件模块,直接依赖的软件模块可以包括但不限于软件系统的开发者所开发的软件代码中所调用的软件模块,间接依赖的软件模块可以包括但不限于被直接依赖的软件模块所依赖的软件模块,也即被直接依赖的软件模块中调用的其他软件模块。
黑名单列表中可以包括但不限于黑名单成员,黑名单成员为已知的存在风险的软件模块的标识等,可以理解的是,黑名单列表中还可以包括存在风险的软件模块的其他信息,例如风险等级等。黑名单列表中的黑名单成员可以通过相关人员的排查结果来确定。例如,在出现一个新的软件模块时,可以由相关人员对该新的软件模块进行排查,如果根据排查结果确定该新的软件模块中存在风险,则可以将该软件模块作为黑名单成员加入黑名单列表中。
当前的软件系统所依赖的任一软件模块与黑名单列表中的黑名单成员相匹配时,则可以触发预设的风险控制处理流程,并且该风险控制处理流程可以针对该相匹配的软件模块执行一些预设的风险控制措施,例如向该软件模块的负责方发送警告信息,或者停止软件系统的本次集成过程,并推进该软件模块的负责方对该软件模块进行整改等。预设的风险控制处理流程可以根据实际情况设定,在此不做具体限制。
在本实施例的一个可选实现方式中,如图4所示,所述装置还包括:
接收模块401,被配置为从第一用户接收所述软件模块为风险模块的上报信息;
第三确定模块402,被配置为根据所述上报信息确定所述软件模块的风险等级,并将所述软件模块作为所述黑名单成员而加入所述黑名单列表中。
该可行的实现方式中,用户可以是对软件模块具有风险排查权限的相关人员,用户如果通过分析该软件模块发现其存在风险,例如该软件模块中嵌入有获取机密信息的代码等,则可以上报该软件模块为风险模块,并且还可以提供相关的风险信息,例如风险原因描述等。在接收到软件模块为风险模块的上报信息之后,本公开实施例可以根据上报信息确定该软件模块的风险等级,并将该软件模块加入作为黑名单成员加入到黑名单类别中。软件模块存在风险时,其风险等级可以根据其存在风险的原因进行划分,具体划分方式可以根据实际情况而定,预设的风险控制处理流程也可以根据风险等级的不同而不同。本公开实施例,可以基于预先设置好的黑名单列表准确找出存在风险的软件模块,以便针对存在风险的软件模型执行预设的风险控制流程,能够大大提高软件系统的风险控制效率以及准确度。
在本实施例的一个可选实现方式中,所述触发模块303,包括:
触发子模块,被配置为根据所述软件模块的风险等级触发预设的风险控制处理流程。
该可选的实现方式中,黑名单列表中的黑名单成员还可以对应有风险等级,风险等级用于表征黑名单成员所能造成的后果的严重性。风险等级可以在黑名单成员加入黑名单列表的时候确定。风险等级不同,对应的风险控制处理流程也可以不同,例如对于风险等级较高的软件模块,可以采取停止软件系统集成,并督促该软件模块的负责方对该软件模块进行整改的措施,而对于风险较低的软件模块,可以继续执行软件系统的集成,但是对该软件模块的负责方提出警告和/或惩罚措施等。通过本公开实施例,可以在软件系统进行集成时,自动获取软件系统所依赖的软件模块,并基于预先设置好的黑名单列表准确找出存在风险的软件模块,以便针对存在风险的软件模型执行预设的风险控制流程,能够大大提高软件系统的风险控制效率以及准确度。
在本实施例的一个可选实现方式中,所述触发子模块,包括以下至少之一:
终止子模块,被配置为在所述软件模块的风险等级为预设的高风险等级时,终止所述软件系统的软件集成流程以及向所述软件模块的负责方发送第一警告信息;
发送子模块,被配置为在所述软件模块的风险等级为预设的低风险等级时,向所述软件模块的负责方发送第二警告信息。
该可选的实现方式中,高风险等级的软件模块的风险大于低风险等级的软件模块的风险。高风险等级的软件模块可能会造成严重的后果,例如软件模块中存在窃取机密信息的代码时,在软件系统集成完成之后,运行软件系统的过程中可能会被第三方窃取重要的机密信息,造成相关方的极大损失;因此,在发现软件系统依赖这类高风险等级的软件模块时,可以终止软件系统的本次集成过程,并向软件模块的负责方发送第一警告信息,督促其对该软件模块进行整改,以便在整改完成后再进行软件系统的集成。低风险等级的软件模块可能会造成一些不好的后果,例如与终止软件系统的集成所造成的损失相比,该软件模块所带来的后果可以忽略时,则可以继续集成软件系统,同时向该软件模块的负责方发送第二警告信息,以便告知该负责方软件模块存在风险的原因等。通过本公开实施例,可以在软件系统进行集成时,自动获取软件系统所依赖的软件模块,并基于预先设置好的黑名单列表准确找出存在风险的软件模块,以便针对存在风险的软件模型执行预设的风险控制流程,能够大大提高软件系统的风险控制效率以及准确度。
在本实施例的一个可选实现方式中,所述装置还包括以下至少之一:
第一产生模块,被配置为响应于初始集成所述软件系统的事件,产生所述预设集成事件;
第二产生模块,被配置为响应于所述软件系统的更新事件,产生所述预设集成事件。
该可选的实现方式中,在软件系统最初要进行集成时,可以产生预设集成事件,以便在对软件系统集成之前,根据黑名单列表确定该软件系统所依赖的软件模块是否存在风险,如果存在风险则执行预设风险控制流程。此外,由于软件系统的集成是一个持续的过程,在软件系统集成之后,如果因为软件系统的功能需要改变或其他原因而导致需要更新软件系统,例如接入新的软件模块时,也可以产生预设集成事件,以便能够针对更新后的软件系统重新确定其所依赖的软件模块是否存在风险的处理流程。通过这种方式,可以持续跟踪软件系统的持续集成过程,避免了软件系统接入新的风险软件模块的情况发生。
在本实施例的一个可选实现方式中,所述黑名单列表中还包括白名单成员;所述装置还包括:
发送模块,被配置为在所述软件模块与所述黑名单列表中的黑名单成员和白名单成员均不匹配时,向第二用户发送检查所述软件模块是否存在风险的提示信息。
该可选的实现方式中,为了避免黑名单列表中的黑名单成员覆盖面不够广而遗漏存在风险的软件模块,则黑名单列表中还可以包括白名单成员,白名单成员为已知不存在风险的软件模块。对于软件系统所依赖的所有软件模块,如果该软件模块与黑名单列表中的黑名单成员和白名单成员均不匹配,则说明该软件模块为风险未知的模块,因此可以向第二用户发送提示信息,以便第二用户能够对该软件模块进行排查,以确定该软件模块中是否存在风险,该第二用户可以是预设的风控人员。通过这种方式在黑名单列表覆盖不够全面而存在遗漏时,也能够及时发现软件系统中的风险模块。
本公开实施方式还提供了一种电子设备,如图5所示,包括至少一个处理器501;以及与至少一个处理器501通信连接的存储器502;其中,存储器502存储有可被至少一个处理器501执行的指令,指令被至少一个处理器501执行以实现:
响应于预设集成事件,确定软件系统所依赖的软件模块;
确定所述软件模块是否与预设的黑名单列表中的黑名单成员相匹配;
在所述软件模块与所述黑名单列表中的黑名单成员相匹配时,触发预设的风险控制处理流程。
其中,还包括:
从第一用户接收所述软件模块为风险模块的上报信息;
根据所述上报信息确定所述软件模块的风险等级,并将所述软件模块作为所述黑名单成员而加入所述黑名单列表中。
其中,触发预设的风险控制处理流程,包括:
根据所述软件模块的风险等级触发预设的风险控制处理流程。
其中,根据所述软件模块的风险等级触发预设的风险控制处理流程,包括以下至少之一:
在所述软件模块的风险等级为预设的高风险等级时,终止所述软件系统的软件集成流程以及向所述软件模块的负责方发送第一警告信息;
在所述软件模块的风险等级为预设的低风险等级时,向所述软件模块的负责方发送第二警告信息。
其中,还包括以下至少之一:
响应于初始集成所述软件系统的事件,产生所述预设集成事件;
响应于所述软件系统的更新事件,产生所述预设集成事件。
其中,所述黑名单列表还包括白名单成员;所述方法还包括:
在所述软件模块与所述黑名单列表中的黑名单成员和白名单成员均不匹配时,向第二用户发送检查所述软件模块是否存在风险的提示信息。
具体地,处理器501、存储器502可以通过总线或者其他方式连接,图5中以通过总线连接为例。存储器502作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。处理器501通过运行存储在存储器502中的非易失性软件程序、指令以及模块,从而执行设备的各种功能应用以及数据处理,即实现本公开实施例中的上述方法。
存储器502可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储航运网络运输的历史数据等。此外,存储器502可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施方式中,电子设备可选地包括通信组件503,存储器502可选地包括相对于处理器501远程设置的存储器,这些远程存储器可以通过通信组件503连接至外接设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
一个或者多个模块存储在存储器502中,当被一个或者多个处理器501执行时,执行本公开实施例中的上述方法。
上述产品可执行本公开实施方式所提供的方法,具备执行方法相应的功能模块和有益效果,未在本实施方式中详尽描述的技术细节,可参见本公开实施方式所提供的方法。
附图中的流程图和框图,图示了按照本公开各种实施方式的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,路程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施方式中所涉及到的单元或模块可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元或模块也可以设置在处理器中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定。
作为另一方面,本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施方式中所述装置中所包含的计算机可读存储介质;也可以是单独存在,未装配入设备中的计算机可读存储介质。计算机可读存储介质存储有一个或者一个以上程序,所述程序被一个或者一个以上的处理器用来执行描述于本公开的方法。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (10)
1.一种风险控制方法,其特征在于,包括:
响应于预设集成事件,确定软件系统所依赖的软件模块;
确定所述软件模块是否与预设的黑名单列表中的黑名单成员相匹配;
在所述软件模块与所述黑名单列表中的黑名单成员相匹配时,触发预设的风险控制处理流程。
2.根据权利要求1所述的方法,其特征在于,还包括:
从第一用户接收所述软件模块为风险模块的上报信息;
根据所述上报信息确定所述软件模块的风险等级,并将所述软件模块作为所述黑名单成员而加入所述黑名单列表中。
3.根据权利要求1或2所述的方法,其特征在于,触发预设的风险控制处理流程,包括:
根据所述软件模块的风险等级触发预设的风险控制处理流程。
4.根据权利要求3所述的方法,其特征在于,根据所述软件模块的风险等级触发预设的风险控制处理流程,包括以下至少之一:
在所述软件模块的风险等级为预设的高风险等级时,终止所述软件系统的软件集成流程以及向所述软件模块的负责方发送第一警告信息;
在所述软件模块的风险等级为预设的低风险等级时,向所述软件模块的负责方发送第二警告信息。
5.根据权利要求1或2所述的方法,其特征在于,还包括以下至少之一:
响应于初始集成所述软件系统的事件,产生所述预设集成事件;
响应于所述软件系统的更新事件,产生所述预设集成事件。
6.根据权利要求1-2、4任一项所述的方法,其特征在于,所述黑名单列表还包括白名单成员;所述方法还包括:
在所述软件模块与所述黑名单列表中的黑名单成员和白名单成员均不匹配时,向第二用户发送检查所述软件模块是否存在风险的提示信息。
7.一种风险控制装置,其特征在于,包括:
第一确定模块,被配置为响应于预设集成事件,确定软件系统所依赖的软件模块;
第二确定模块,被配置为确定所述软件模块是否与预设的黑名单列表中的黑名单成员相匹配;
触发模块,被配置为在所述软件模块与所述黑名单列表中的黑名单成员相匹配时,触发预设的风险控制处理流程。
8.根据权利要求7所述的装置,其特征在于,还包括:
接收模块,被配置为从第一用户接收所述软件模块为风险模块的上报信息;
第三确定模块,被配置为根据所述上报信息确定所述软件模块的风险等级,并将所述软件模块作为所述黑名单成员而加入所述黑名单列表中。
9.一种电子设备,其特征在于,包括存储器和至少一个处理器;其中,
所述存储器用于存储一条或多条计算机指令,其中,所述一条或多条计算机指令被所述至少一个处理器执行以实现权利要求1-6任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该计算机指令被至少一个处理器执行时实现权利要求1-6任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911103183.9A CN110866225A (zh) | 2019-11-12 | 2019-11-12 | 风险控制方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911103183.9A CN110866225A (zh) | 2019-11-12 | 2019-11-12 | 风险控制方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110866225A true CN110866225A (zh) | 2020-03-06 |
Family
ID=69654190
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911103183.9A Pending CN110866225A (zh) | 2019-11-12 | 2019-11-12 | 风险控制方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110866225A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111931186A (zh) * | 2020-08-12 | 2020-11-13 | 中国工商银行股份有限公司 | 软件风险识别方法及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101398873A (zh) * | 2008-10-30 | 2009-04-01 | 宇龙计算机通信科技(深圳)有限公司 | 加载第三方软件的方法及系统 |
CN103927485A (zh) * | 2014-04-24 | 2014-07-16 | 东南大学 | 基于动态监控的Android应用程序风险评估方法 |
CN104380302A (zh) * | 2012-06-07 | 2015-02-25 | 迈可菲公司 | 评估是阻止还是允许软件应用的安装 |
US20160226917A1 (en) * | 2012-10-31 | 2016-08-04 | Google Inc. | Privacy aware camera and device status indicator system |
CN106528421A (zh) * | 2016-11-09 | 2017-03-22 | 国网浙江省电力公司电力科学研究院 | 一种Android应用中SDK处理方法 |
-
2019
- 2019-11-12 CN CN201911103183.9A patent/CN110866225A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101398873A (zh) * | 2008-10-30 | 2009-04-01 | 宇龙计算机通信科技(深圳)有限公司 | 加载第三方软件的方法及系统 |
CN104380302A (zh) * | 2012-06-07 | 2015-02-25 | 迈可菲公司 | 评估是阻止还是允许软件应用的安装 |
US20160226917A1 (en) * | 2012-10-31 | 2016-08-04 | Google Inc. | Privacy aware camera and device status indicator system |
CN103927485A (zh) * | 2014-04-24 | 2014-07-16 | 东南大学 | 基于动态监控的Android应用程序风险评估方法 |
CN106528421A (zh) * | 2016-11-09 | 2017-03-22 | 国网浙江省电力公司电力科学研究院 | 一种Android应用中SDK处理方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111931186A (zh) * | 2020-08-12 | 2020-11-13 | 中国工商银行股份有限公司 | 软件风险识别方法及装置 |
CN111931186B (zh) * | 2020-08-12 | 2023-09-08 | 中国工商银行股份有限公司 | 软件风险识别方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10080149B2 (en) | Coverage solution recommendation tool | |
CN108737132B (zh) | 一种告警信息处理方法及装置 | |
US10127093B1 (en) | Method and apparatus for monitoring a message transmission frequency in a robot operating system | |
CN110222535B (zh) | 区块链配置文件的处理装置、方法及存储介质 | |
CN110336742B (zh) | 信息发送方法、装置、计算机设备和存储介质 | |
CN109218407B (zh) | 基于日志监控技术的代码管控方法及终端设备 | |
CN110806971A (zh) | 一种版本测试方法、装置及电子设备 | |
CN108390786B (zh) | 一种业务运维方法、装置及电子设备 | |
CN110866225A (zh) | 风险控制方法、装置、电子设备及存储介质 | |
CN104767876A (zh) | 基于软件的安全处理方法和用户终端 | |
CN111949421B (zh) | Sdk调用方法、装置、电子设备和计算机可读存储介质 | |
CN112437155B (zh) | 服务数据的处理方法、装置以及服务端设备 | |
CN111124591A (zh) | 一种镜像传输方法、装置、电子设备及存储介质 | |
CN109934267B (zh) | 模型检测方法及装置 | |
CN116737710A (zh) | 数据处理方法、装置和电子设备 | |
CN110995522A (zh) | 一种信息处理方法及装置 | |
CN113419952B (zh) | 云服务管理场景测试装置与方法 | |
CN116016653A (zh) | 区块链的信息推送方法、装置、电子设备和存储介质 | |
CN111752819A (zh) | 一种异常监控方法、装置、系统、设备和存储介质 | |
CN105790975A (zh) | 一种业务处理操作的执行方法及装置 | |
CN114037539A (zh) | 一种保险出单链路异常检测方法及装置 | |
CN111935251B (zh) | 区块链网络管理方法、网络、装置、设备及存储介质 | |
CN113656215A (zh) | 一种基于集中配置的自动化容灾方法、系统、介质和设备 | |
CN114691395A (zh) | 一种故障处理方法、装置、电子设备及存储介质 | |
CN113067713B (zh) | 一种为告警网元添加工程标识的方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200306 |