CN112579476A - 一种漏洞和软件对齐的方法、装置以及存储介质 - Google Patents
一种漏洞和软件对齐的方法、装置以及存储介质 Download PDFInfo
- Publication number
- CN112579476A CN112579476A CN202110198625.3A CN202110198625A CN112579476A CN 112579476 A CN112579476 A CN 112579476A CN 202110198625 A CN202110198625 A CN 202110198625A CN 112579476 A CN112579476 A CN 112579476A
- Authority
- CN
- China
- Prior art keywords
- software
- vulnerability
- alignment
- database
- software information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
- G06F16/9535—Search customisation based on user profiles and personalisation
Abstract
本发明实施例涉及软件测试领域,公开了一种漏洞和软件对齐的方法、装置以及存储介质,包括:抓取安全漏洞发布网站发布的漏洞信息,建立公开漏洞资源数据库;建立包含公开漏洞的软件信息数据库;以<开发商,软件名称>的键值对为关键词,在指定网站范围内进行搜索,将对应键值对的搜索结果插入软件信息数据库;根据上一步得到的软件信息数据库进行过滤,筛选其中符合对齐要求的软件信息并设置为可信,标识其为对齐完成数据;每次更新漏洞数据库时查找并更新软件信息数据库;本发明基于搜索引擎的庞大搜索量所训练的推荐算法,能够获得较为准确的开源软件的源代码仓库地址,或者闭源软件的二进制下载链接。
Description
技术领域
本发明涉及软件测试领域,具体为一种使用搜索引擎推荐结果进行漏洞和软件对齐的方法、装置以及存储介质。
背景技术
目前网络上有一定数量的安全网站维护了公开漏洞数据库,以记载相关的软件安全问题和解决办法,例如NVD,CVE等软件安全漏洞库,同时在部分大型网站官网上也维护了相关的漏洞数据,例如linux开源社区中有单独的bug反馈区域,微软官网也有相关软件的安全漏洞发布页面。这些数据格式各自不同,并且数据不太完整,对于NVD官网的数据来说,只会给出<开发商, 软件名称>键值对,但是并不会给出该键值对对应于哪个开源项目仓库或者二进制文件,只能称为漏洞的描述信息,并不具有准确映射代码的能力,面对庞大的软件资源,无法准确的将漏洞和需要测试的软件相关联,为软件的安全维护和监控带来一定的障碍。
漏洞对齐,其目的是针对已有的大量公开漏洞和开源软件做文件、函数、代码行级别的映射。公开漏洞能够准确的定位到某一段源代码,或者某一个代码仓库下的指定版本称为对齐,也即公开漏洞和开源代码的映射技术。
目前常见的漏洞对齐方式均为基于语义的对齐,可以简单分为以下两种:
1. 基于字符串的匹配方法:针对<开发商, 软件名称>键值对,对软件的仓库或者下载链接与<开发商, 软件名称>键值对进行匹配进行字符匹配,如果软件的仓库或者下载链接与<开发商, 软件名称>键值对存在某种相似性则认为其匹配成功,包含漏洞的软件和该下载链接的软件为相同软件。
2. 基于机器学习的语义匹配:该方法的原则为<开发商, 软件名称>键值对在语义上和其下载链接应该具有一定的相通性,因此利用自然语言处理的方式,训练模型并预测<开发商, 软件名称>键值对和某个软件下载链接是否匹配,从而准确定位到漏洞的源代码或者二进制文件,应用于代码分析中。
以上两种方法均是基于语义的匹配方式,对于开发商名称不包含在下载链接中的数据,其对齐效果较差,甚至无法处理。
发明内容
本发明实施方式的目的在于提供一种漏洞和软件对齐的方法,能够快速获得较为准确的开源软件的源代码仓库地址,将<开发商, 软件名称>信息映射至开源软件仓库,或者闭源软件的二进制下载链接,克服了漏洞信息无法直接映射到开源仓库,给漏洞数据的利用带来较大的困难的问题。
为解决上述技术问题,本发明的实施方式提供了一种漏洞和软件对齐的方法,包括以下步骤:
S101:抓取安全漏洞发布网站发布的漏洞信息,并进行实时更新,建立公开漏洞资源数据库;
S102:根据所述公开漏洞资源数据库,建立包含公开漏洞的软件信息数据库;
S103:以<开发商, 软件名称>的键值对为关键词,在指定网站范围内进行搜索,抓取搜索引擎推荐的搜索结果,将对应键值对的搜索结果插入软件信息数据库;
S104: 对步骤S103得到的软件信息数据库进行过滤,筛选其中符合对齐要求的软件信息并设置为可信,标识所述符合对齐要求的软件信息为对齐完成数据,所述对齐要求为所述搜索结果中至少包含<开发商,软件名称>键值对中的一个;
S105: 每次更新漏洞资源数据库时查找并更新软件信息数据库。
优选地,步骤S101中所述漏洞资源数据库包含已知的安全漏洞信息和相关的涉及漏洞的软件信息。
优选地,步骤S102中,在建立最初,所述软件信息数据库中只包含<开发商, 软件名称>的键值对,软件的版本以及指向的漏洞。
优选地,步骤S103中所述指定网站包括开源社区,或者二进制仓库。
本发明的实施方式还提供了一种漏洞和软件对齐的装置,包括如下模块:
漏洞资源数据库建立模块:抓取安全漏洞发布网站发布的漏洞信息,并进行实时更新,建立公开漏洞资源数据库;
软件信息数据库建立模块:根据所述公开漏洞资源数据库,建立包含公开漏洞的软件信息数据库;
搜索模块:以<开发商, 软件名称>的键值对为关键词,在指定网站范围内进行搜索,抓取搜索引擎推荐的搜索结果,将对应键值对的搜索结果插入软件信息数据库;
过滤模块: 根据搜索模块得到的软件信息数据库进行过滤,筛选其中符合对齐要求的软件信息并设置为可信,标识其为对齐完成数据;
更新查找模块: 每次更新漏洞数据库时查找并更新软件信息数据库。
优选地,所述漏洞资源数据库包含已知的安全漏洞信息和相关的涉及漏洞的软件信息。
优选地,所述软件信息数据库建立模块中,在建立最初,所述软件信息数据库中只包含<开发商, 软件名称>的键值对,软件的版本以及指向的漏洞。
优选地,所述搜索模块中所述指定网站包括开源社区,或者二进制仓库。
本发明的实施方式还提供了一种电子设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如前所述的漏洞和软件对齐的方法。
本发明的实施方式还提供了一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现如前所述的漏洞和软件对齐的方法。
本发明实施方式相对于现有技术而言,能够从公开漏洞数据集实时整合最新的漏洞信息,能够有效的保障漏洞数据的更新速度与及时性;应用了爬虫抓取和网页分析技术,能够对最近更新的漏洞数据进行格式化,而不必等待CVE等官方发布标准格式的数据;首次使用基于搜索引擎的庞大搜索量所训练的推荐算法,通过使用高效的搜索引擎辅助,能够快速获得较为准确的开源软件的源代码仓库地址,将<开发商, 软件名称>信息映射至开源软件仓库,或者闭源软件的二进制下载链接,克服了漏洞信息无法直接映射到开源仓库,给漏洞数据的利用带来较大的困难的问题。使用启发式的过滤算法,对搜索引擎的查询结果进行匹配,能够有效的减少对齐的错误率,在对齐过程中能够建立一个有效的,准确的公开漏洞信息数据库,能够实时监测当前主流安全网站发布的信息并进行实时更新,从而将现有的公开漏洞资源应用至软件检测分析中。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
图1为本发明基于搜索引擎的推荐结果进行公开漏洞和软件对齐的方法的流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本发明而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本发明所要求保护的技术方案。以下各个实施例的划分是为了描述方便,不应对本发明的具体实现方式构成任何限定,各个实施例在不矛盾的前提下可以相互结合相互引用。
下面结合附图和特定的具体实例对本发明做以详细说明。
实施例1
参见图1,本发明提供技术方案如下:
S101: 自动化抓取主流安全网站的漏洞信息,同步至漏洞数据库,建立公开漏洞资源数据库;
S1011. 设置时间间隔T,每隔时间间隔T爬取主流安全网站各一次,所述主流安全网站包括NVD,CVE,CNVD,获取当前网站最新漏洞数据,所述最新漏洞数据包括漏洞编号,所述时间间隔T为5-60分钟;
(1)对于NVD官网数据,使用其提供的json格式数据下载;
(2)对于CNVD网站,使用HTML parser解析并提取其 <table class=tlist> </table>标签内部的表格,所述表格存储了漏洞数据信息,查找其第一条即为最近发布的漏洞信息;
(3)对于CVE官网,抓取其官网页面并使用HTML parser解析,提取其<div id=“NewCVE Entries”></div>标签,内部为最新发布的CVE漏洞;
S1012. 对比当前漏洞数据库最新数据,分别以获取的NVD,CVE,CNVD漏洞编号作为关键字查询所述当前漏洞数据库,如果所述当前漏洞数据库中不包含该漏洞,则按照上一步依次爬取漏洞,直到爬取的漏洞已经包含在漏洞数据库中,则获取到了上次更新之后新发布的所有漏洞;
S1013. 将新爬取到的漏洞信息插入漏洞数据库,建立公开漏洞资源数据库;
其中,S101从公开漏洞数据集实时整合最新的漏洞信息,能够有效的保障漏洞数据的更新速度与及时性。
S102: 根据所述公开漏洞资源数据库提取建立包含公开漏洞的软件信息数据库:
S1021. 如果S101中爬取到了新的漏洞信息,获取其每个漏洞对应的<开发商, 软件名称>键值对,存储在一个集合中;
(1)对于NVD官网,其json格式的数据中包含了开发商和软件名称;
(2)对于CNVD官网,进入该漏洞的描述页面中,使用HTML parser解析并提取其<table class=“gg_detail”></table>标签,其中包含漏洞信息描述表格,提取其中 <td>影响产品</td>标签可以获得漏洞影响的软件信息;
(3)对于CVE官网,其提供的CVE下载信息中包含该漏洞影响的软件信息;
S1021. 查找已建立的软件信息数据库(初始情况下为空),获取已经对齐的<开发商, 软件名称>键值对(这里指上一轮运行中已经对齐到开源仓库的键值对),并对S1021中得到的集合进行去重处理,例如通过字符串匹配的方式进行检测,相同的键值对即为重复,获得最近发布的漏洞中包含的没有对齐的<开发商, 软件名称>键值对集合;
其中,S102应用爬虫和网页分析技术,能够对最近更新的漏洞数据进行格式化,而不必等待CVE官方发布标准格式的数据。
S103: 根据S102中获得的<开发商, 软件名称>键值对,利用搜索引擎(例如google搜索引擎)在指定网站范围内进行搜索,抓取搜索引擎推荐的搜索结果,将对应键值对的搜索结果插入软件信息数据库;
S1031. 搜索范围限定在指定的网站范围内,例如“site:github.com”,加入关键词,所述关键词为<开发商, 软件名称>键值对,搜索该关键词在github开源社区的仓库地址,对多个网站如“gitlab.com”等开源社区进行遍历搜索;
S1032. 对于搜索引擎(例如google)返回的搜索结果页面,使用html parser解析返回网页,并提取其中的标签 <div class=”bkWMgd”></div>标签,遍历其下所有的<a></a>标签,提取其”href”属性值,该属性值为一个超链接,如果该超链接属于需要搜索的指定网站(例如“site:github.com”即为指定网站,也可以为“gitlab.com”等开源仓库),则保存该超链接,最后获取到一个超链接列表;所述超链接即为后续进行对齐的数据;
S1033. 将该超链接列表插入软件信息数据库保存;
本发明首次使用搜索引擎辅助,将<开发商, 软件名称>信息映射至开源软件仓库,克服了漏洞信息无法直接映射到开源仓库,给漏洞数据的利用带来较大的困难的问题,通过使用高效的搜索引擎辅助,能够快速准确的定位到漏洞对应的开源代码仓库。
S104: 根据S103获得的超链接列表,筛选符合对齐要求的数据并设置为可信,标识其为对齐完成数据,并更新软件数据库;所述对齐要求为该超链接至少包含<开发商, 软件名称>键值对中的一个;
S1041. 遍历该列表,筛选频繁出现的超链接为搜索的软件对应的超链接,按照以下规则区分该超链接是否为频繁出现,优先性依次递减:
(1)前3条搜索结果中有两条指向同一个链接;
(2)前5条搜索结果中有3条指向同一个链接;
(3)前10条搜索结果中有5条指向同一个链接;
S1042. 将符合对齐要求的数据插入软件信息数据库,并更新对齐数据为可信数据,所述对齐数据即为<开发商,软件名称,代码仓库超链接>三元组。
其中,S104使用启发式的过滤算法,对搜索引擎的查询结果进行匹配,能够有效的减少对齐的错误率。
S105: 每次更新漏洞数据库时查找并更新软件信息数据库。
结合实施例1公开的方法,针对NVD漏洞数据库描述实施例2、3。
实施例2:
一. 更新NVD漏洞数据库,选取漏洞CVE-2018-10856;
获取漏洞信息涉及软件信息,如下表:
表1 漏洞信息
二. 该漏洞涉及一个软件,多个版本,将 vendor = LibPod Project(开发商),product = LibPod(软件名称)作为关键词,在google中搜索对应的键值对<LibPodproject, LibPod>,限定范围为 site=github.com, 获得如下搜索结果:
表2 搜索结果
三. 按照上一步获得的搜索结果,前三条(按照实施例1中S104的规则,前三条已经满足(1),无需看后续的结果)搜索结果均指向仓库地址https://github.com/containers/libpod,因此认为项目 <LibPod Project,Libpod>的开源仓库地址为https://github.com/containers/libpod,将该结果插入数据库,具体地,将开源仓库地址链接插入<开发商, 软件名称>对应条目下;
四. 检验该仓库首页,其文档标识为 podman项目,与该CVE数据集描述中的项目相同,对齐正确。
实施例3:
一. 更新NVD漏洞数据库,选取漏洞CVE-2017-2171;
二. 获取漏洞信息涉及软件信息,如下表:
表3 漏洞信息
三. 该漏洞涉及多个软件,多个版本,
1. 将 vendor = Bestwebsoft, product = Donate作为关键词,在google中搜索对应的键值对<Bestwebsoft, Donate>,限定范围为 site=github.com, 获得如下搜索结果:
表4 搜索结果
2. 将 vendor = Bestwebsoft, product = Google Maps作为关键词,在google中搜索对应的键值对<Bestwebsoft, Google maps>,限定范围为 site=github.com, 获得如下搜索结果:
表5 搜索结果
四. 根据上一步的搜索结果,获得如下结论:
1. 第一个项目前3条结果指向仓库https://github.com/bestwebsoft/donate-wordpress-plugin,因此认为项目<Bestwebsoft, Donate>的开源仓库地址为https://github.com/bestwebsoft/ donate-wordpress-plugin,将该结果插入数据库;
第二个项目前3条结果指向仓库:https://github.com/bestwebsoft/bestwebsoft-google- maps-wordpress-plugin,因此认为项目<Bestwebsoft, Googlemaps>的开源仓库地址为https://github.com/bestwebsoft/bestwebsoft- google-maps-wordpress-plugin,将该结果插入数据库。
本领域技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域的普通技术人员可以理解,上述各实施方式是实现本发明的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
Claims (10)
1.一种漏洞和软件对齐的方法,其特征在于,包括如下步骤:
S101:抓取安全漏洞发布网站发布的漏洞信息,并进行实时更新,建立公开漏洞资源数据库;
S102:根据所述公开漏洞资源数据库,建立包含公开漏洞的软件信息数据库;
S103:以<开发商, 软件名称>的键值对为关键词,在指定网站范围内进行搜索,抓取搜索引擎推荐的搜索结果,将对应键值对的搜索结果插入软件信息数据库;
S104: 对步骤S103得到的软件信息数据库进行过滤,筛选其中符合对齐要求的软件信息并设置为可信,标识所述符合对齐要求的软件信息为对齐完成数据,所述对齐要求为所述搜索结果中至少包含<开发商,软件名称>键值对中的一个;
S105: 每次更新漏洞资源数据库时查找并更新软件信息数据库。
2.根据权利要求1所述的一种漏洞和软件对齐的方法,其特征在于,步骤S101中所述漏洞资源数据库包含已知的安全漏洞信息和相关的涉及漏洞的软件信息。
3.根据权利要求1所述的一种漏洞和软件对齐的方法,其特征在于,步骤S102中,在建立最初,所述软件信息数据库中只包含<开发商, 软件名称>的键值对,软件的版本以及指向的漏洞。
4.根据权利要求1所述的一种漏洞和软件对齐的方法,其特征在于,步骤S103中所述指定网站包括开源社区,或者二进制仓库。
5.一种漏洞和软件对齐的装置,其特征在于,包括如下模块:
漏洞资源数据库建立模块:抓取安全漏洞发布网站发布的漏洞信息,并进行实时更新,建立公开漏洞资源数据库;
软件信息数据库建立模块:根据所述公开漏洞资源数据库,建立包含公开漏洞的软件信息数据库;
搜索模块:以<开发商, 软件名称>的键值对为关键词,在指定网站范围内进行搜索,抓取搜索引擎推荐的搜索结果,将对应键值对的搜索结果插入软件信息数据库;
过滤模块: 根据搜索模块得到的软件信息数据库进行过滤,筛选其中符合对齐要求的软件信息并设置为可信,标识其为对齐完成数据;
更新查找模块: 每次更新漏洞数据库时查找并更新软件信息数据库。
6.根据权利要求5所述的一种漏洞和软件对齐的装置,其特征在于,所述漏洞资源数据库包含已知的安全漏洞信息和相关的涉及漏洞的软件信息。
7.根据权利要求5所述的一种漏洞和软件对齐的装置,其特征在于,所述软件信息数据库建立模块中,在建立最初,所述软件信息数据库中只包含<开发商, 软件名称>的键值对,软件的版本以及指向的漏洞。
8.根据权利要求5所述的一种漏洞和软件对齐的装置,其特征在于,所述搜索模块中所述指定网站包括开源社区,或者二进制仓库。
9.一种电子设备,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1-4任一项所述的漏洞和软件对齐的方法。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-4任一项所述的漏洞和软件对齐的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110198625.3A CN112579476B (zh) | 2021-02-23 | 2021-02-23 | 一种漏洞和软件对齐的方法、装置以及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110198625.3A CN112579476B (zh) | 2021-02-23 | 2021-02-23 | 一种漏洞和软件对齐的方法、装置以及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112579476A true CN112579476A (zh) | 2021-03-30 |
CN112579476B CN112579476B (zh) | 2021-05-18 |
Family
ID=75113941
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110198625.3A Active CN112579476B (zh) | 2021-02-23 | 2021-02-23 | 一种漏洞和软件对齐的方法、装置以及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112579476B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113312633A (zh) * | 2021-06-25 | 2021-08-27 | 深信服科技股份有限公司 | 一种网站漏洞扫描方法、装置、设备及存储介质 |
CN113449306A (zh) * | 2021-09-02 | 2021-09-28 | 湖南省佳策测评信息技术服务有限公司 | 一种基于软件源代码分析的安全漏洞预警方法及系统 |
WO2024021874A1 (zh) * | 2022-07-25 | 2024-02-01 | 华为云计算技术有限公司 | 漏洞分析方法、装置、设备及计算机可读存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104573525A (zh) * | 2014-12-19 | 2015-04-29 | 中国航天科工集团第二研究院七〇六所 | 一种基于白名单的专用信息服务软件漏洞修复系统 |
CN105630975A (zh) * | 2015-12-24 | 2016-06-01 | 联想(北京)有限公司 | 一种信息处理方法和电子设备 |
CN106446691A (zh) * | 2016-11-24 | 2017-02-22 | 工业和信息化部电信研究院 | 检测软件中集成或定制的开源项目漏洞的方法和装置 |
CN107977225A (zh) * | 2017-12-06 | 2018-05-01 | 国网江苏省电力有限公司电力科学研究院 | 一种安全漏洞的统一描述方法和描述系统 |
EP3444741A1 (en) * | 2017-08-14 | 2019-02-20 | Onapsis Inc. | Generating rules to detect security vulnerabilities based on vulnerability primitives with entry point finder |
CN109977672A (zh) * | 2017-12-22 | 2019-07-05 | 镇江市志捷软件开发有限公司 | 软件漏洞的发现方法和系统 |
CN111931183A (zh) * | 2020-07-31 | 2020-11-13 | 中国工商银行股份有限公司 | 开源软件安全漏洞处理方法和装置 |
-
2021
- 2021-02-23 CN CN202110198625.3A patent/CN112579476B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104573525A (zh) * | 2014-12-19 | 2015-04-29 | 中国航天科工集团第二研究院七〇六所 | 一种基于白名单的专用信息服务软件漏洞修复系统 |
CN105630975A (zh) * | 2015-12-24 | 2016-06-01 | 联想(北京)有限公司 | 一种信息处理方法和电子设备 |
CN106446691A (zh) * | 2016-11-24 | 2017-02-22 | 工业和信息化部电信研究院 | 检测软件中集成或定制的开源项目漏洞的方法和装置 |
EP3444741A1 (en) * | 2017-08-14 | 2019-02-20 | Onapsis Inc. | Generating rules to detect security vulnerabilities based on vulnerability primitives with entry point finder |
CN107977225A (zh) * | 2017-12-06 | 2018-05-01 | 国网江苏省电力有限公司电力科学研究院 | 一种安全漏洞的统一描述方法和描述系统 |
CN109977672A (zh) * | 2017-12-22 | 2019-07-05 | 镇江市志捷软件开发有限公司 | 软件漏洞的发现方法和系统 |
CN111931183A (zh) * | 2020-07-31 | 2020-11-13 | 中国工商银行股份有限公司 | 开源软件安全漏洞处理方法和装置 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113312633A (zh) * | 2021-06-25 | 2021-08-27 | 深信服科技股份有限公司 | 一种网站漏洞扫描方法、装置、设备及存储介质 |
CN113449306A (zh) * | 2021-09-02 | 2021-09-28 | 湖南省佳策测评信息技术服务有限公司 | 一种基于软件源代码分析的安全漏洞预警方法及系统 |
WO2024021874A1 (zh) * | 2022-07-25 | 2024-02-01 | 华为云计算技术有限公司 | 漏洞分析方法、装置、设备及计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112579476B (zh) | 2021-05-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112579476B (zh) | 一种漏洞和软件对齐的方法、装置以及存储介质 | |
EP3441875B1 (en) | Intellectual automated security, performance and code generation framework | |
US9798648B2 (en) | Transitive source code violation matching and attribution | |
US10454969B2 (en) | Automatic generation of low-interaction honeypots | |
KR101751388B1 (ko) | 오픈소스 취약점 분석 대상 검색 및 수집을 위한 빅데이터 분석 기반 웹 크롤링 시스템 및 그 방법 | |
CN112131882A (zh) | 一种多源异构网络安全知识图谱构建方法及装置 | |
CN103744802B (zh) | Sql注入攻击的识别方法及装置 | |
US20150207811A1 (en) | Vulnerability vector information analysis | |
CN110266661B (zh) | 一种授权方法、装置及设备 | |
CN102446255B (zh) | 一种检测页面篡改的方法及装置 | |
US20230195728A1 (en) | Column lineage and metadata propagation | |
Cheung et al. | Development nature matters: An empirical study of code clones in JavaScript applications | |
CN102591965B (zh) | 一种黑链检测的方法及装置 | |
CN103279710A (zh) | Internet信息系统恶意代码的检测方法和系统 | |
CN109104421B (zh) | 一种网站内容篡改检测方法、装置、设备及可读存储介质 | |
CN115033894B (zh) | 一种基于知识图谱的软件组件供应链安全检测方法及装置 | |
EP3745292A1 (en) | Hidden link detection method and apparatus for website | |
Zhang et al. | Blockaid: Data access policy enforcement for web applications | |
WO2022012327A1 (zh) | 代码分析的方法、系统及计算设备 | |
CN104036189A (zh) | 页面篡改检测方法及黑链数据库生成方法 | |
Zhao et al. | VULDEFF: vulnerability detection method based on function fingerprints and code differences | |
CN109684844B (zh) | 一种webshell检测方法、装置以及计算设备、计算机可读存储介质 | |
CN116775034A (zh) | 内核观测程序的构建方法、装置及设备 | |
CN104077353A (zh) | 一种黑链检测的方法及装置 | |
KR102411383B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A method, device and storage medium for aligning vulnerabilities with software Effective date of registration: 20230106 Granted publication date: 20210518 Pledgee: Beijing first financing Company limited by guarantee Pledgor: BEIJING PEKING UNIVERSITY SOFTWARE ENGINEERING CO.,LTD. Registration number: Y2023980030497 |