CN113449306A - 一种基于软件源代码分析的安全漏洞预警方法及系统 - Google Patents
一种基于软件源代码分析的安全漏洞预警方法及系统 Download PDFInfo
- Publication number
- CN113449306A CN113449306A CN202111023285.7A CN202111023285A CN113449306A CN 113449306 A CN113449306 A CN 113449306A CN 202111023285 A CN202111023285 A CN 202111023285A CN 113449306 A CN113449306 A CN 113449306A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- software
- information
- source code
- early warning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
一种基于软件源代码分析的安全漏洞预警方法及系统,包括收集并存储软件基本信息,根据软件基本信息选择软件进行源代码管理,建立软件与源代码之间的关联关系,根据上述关联关系选择源代码自动解析第三方技术组件文件并建立技术组件库,建立软件与第三方技术组件之间的关联关系,实时检测全球信息安全领域的漏洞数据库并自动同步漏洞信息,将自动同步的漏洞信息与技术组件库进行匹配,建立漏洞信息与第三方技术组件之间的关联关系,并根据关联关系自动生成预警信息,显示预警信息并记录预警信息对应的漏洞处理信息,在漏洞处理完毕后自动取消预警信息并新增一条漏洞处理记录,将漏洞信息分析结果进行可视化显示,实现及时主动预警。
Description
技术领域
本发明涉及网络信息安全技术领域,尤其涉及一种基于软件源代码分析的安全漏洞预警方法及系统。
背景技术
随着互联网技术的深入发展,系统安全、应用安全等话题已经成为软件企业以及信息系统建设单位不可回避的挑战,如何在软件运行过程中对技术安全漏洞进行主动预警,对软件安全隐患积极预防,是软件企业和建设单位都需要考虑的问题。现有的漏洞安全扫描、静态检测技术(源代码扫描)、动态检测技术仅在扫描与检测的时间段才能发现漏洞,软件在运行过程中无法做到常态化实时漏洞扫描与检测,漏洞扫描与检测工具的漏洞特征库的更新升级也存在时效性问题。安全扫描与动态检测虽然可以帮助系统管理员有效发现软件存在的漏洞,但这种方式需要系统管理员人为发起,是否及时有效发现漏洞取决于人为因素。源代码扫描主要针对开放源代码的程序,通常只需扫描一次,虽然可以通过检查程序中不符合安全规则的文件结构、命名规则、函数、堆栈指针等,进而发现程序中可能隐含的安全缺陷,但无法对第三方技术组件进行有效扫描,更无法预知技术组件未来的漏洞。因此,有必要提出一种新的可实现及时主动预警的安全漏洞预警方法。
发明内容
本发明的目的就是要解决现有技术的不足,提供一种基于软件源代码分析的能够实现及时主动预警的安全漏洞预警方法及系统。
为达到上述目的,本发明的技术方案是这样实现的:
基于本发明的一方面,提供一种基于软件源代码分析的安全漏洞预警方法,包括:
S101:收集并存储软件基本信息;
S102:根据收集的软件基本信息选取软件,对选取的软件进行源代码管理,建立软件与源代码之间的关联关系;
S103:根据软件与源代码之间的关联关系选取源代码,从选取的源代码中自动解析第三方技术组件文件并建立技术组件库,建立软件与第三方技术组件之间的关联关系;
S104:实时检测全球信息安全领域的漏洞数据库并自动同步所述漏洞数据库的漏洞信息,将自动同步的漏洞信息与所述技术组件库中的第三方技术组件进行匹配,建立漏洞信息与所述第三方技术组件之间的关联关系;
S105:根据建立的漏洞信息与第三方技术组件、软件之间的关联关系自动生成预警信息并发送预警信息;
S106:对预警信息进行逐条选取和显示,记录预警信息所对应的漏洞处理信息,在漏洞处理完毕后自动取消预警信息并新增一条漏洞处理记录;
S107:对漏洞处理信息和漏洞处理记录进行分析,将漏洞信息分析结果进行可视化显示。
在其中一实施例中,所述软件基本信息包括系统名称、系统开发语言、所在服务器操作系统名称及版本、所在服务器的IP地址。
在其中一实施例中,所述源代码管理包括查询源代码目录结构和内容,添加、删除、修改、查询源代码,所述添加源代码包括直接上传源代码压缩包和从源代码平台上拉取源代码。
在其中一实施例中,所述解析第三方技术组件文件包括:对于遵循XML语法的第三方技术组件文件采用XML解析方式提取依赖组件,对于遵循Json语法的第三方技术组件文件采用Json解析方式提取依赖组件,对于遵循除XML语法和Json语法以外的语法的第三方技术组件文件采用正则表达式提取依赖组件。
在其中一实施例中,所述S103还包括将自动同步的操作系统的漏洞与所述软件基本信息中的所在服务器操作系统名称进行匹配,建立漏洞信息与操作系统之间的关联关系,所述漏洞信息包括漏洞名称、漏洞类型、漏洞危害等级、漏洞对应技术组件名称以及对应技术组件版本号、漏洞发布时间、漏洞修复建议,所述将自动同步的漏洞信息与所述技术组件库中的第三方技术组件进行匹配包括将自动同步的漏洞信息中的漏洞名称、漏洞对应技术组件名称、对应技术组件版本号与所述技术组件库中的第三方技术组件进行匹配。
在其中一实施例中,所述预警信息包括漏洞名称、漏洞类型、漏洞危害等级、漏洞对应技术组件名称以及对应技术组件版本号、漏洞发布时间、漏洞修复建议以及存在所述漏洞的软件所在服务器的IP地址、漏洞风险等级、漏洞预警时间。
在其中一实施例中,所述漏洞处理信息包括漏洞编号、漏洞处理时间、漏洞处理人员、漏洞处理方式及漏洞处理结果,所述漏洞处理记录包括漏洞名称、漏洞风险等级、漏洞预警时间范围、漏洞处理时间范围及存在所述漏洞的软件所在服务器的IP地址。
在其中一实施例中,所述漏洞信息分析结果包括漏洞类型、漏洞危害等级、漏洞风险等级、漏洞数量、漏洞处理方式、漏洞处理结果、漏洞分布,所述将漏洞信息分析结果进行可视化显示包括:根据所述软件基本信息将未处理的漏洞所在的服务器的IP地址进行展示,将未处理的漏洞的漏洞类型及漏洞数量进行展示,将未处理的漏洞的漏洞风险等级以及不同漏洞风险等级的漏洞数量进行展示,根据漏洞信息分析结果展示历史时段内不同漏洞风险等级的漏洞数量走势。
基于本发明的又一方面,提供一种基于软件源代码分析的安全漏洞预警系统,包括软件管理模块、源代码管理模块、源代码分析模块、漏洞数据库维护模块、软件漏洞预警模块、软件漏洞处理模块和可视化模块,所述软件管理模块用于收集并存储软件基本信息,所述源代码管理模块用于从所述软件管理模块获取软件基本信息,根据所述软件管理模块的软件基本信息选取软件,对选取的软件进行源代码管理,建立软件与源代码之间的关联关系,所述源代码分析模块用于从所述源代码管理模块获取软件与源代码之间的关联关系,根据所述软件与源代码之间的关联关系选取源代码,从选取的源代码中自动解析第三方技术组件文件并建立技术组件库,建立软件与第三方技术组件之间的关联关系,所述漏洞数据库维护模块用于实时检测全球信息安全领域的漏洞数据库并自动同步所述漏洞数据库的漏洞信息,所述漏洞数据库维护模块从所述源代码分析模块获取软件与第三方技术组件之间的关联关系,将自动同步的漏洞信息与所述技术组件库中的第三方技术组件进行匹配,建立漏洞信息与所述第三方技术组件之间的关联关系;所述软件漏洞预警模块用于从所述漏洞数据库维护模块获取漏洞信息与第三方技术组件之间的关联关系,根据漏洞信息与第三方技术组件、软件之间的关联关系自动生成预警信息并发送预警信息;所述软件漏洞处理模块用于从所述软件漏洞预警模块获取预警信息,对所述预警信息进行逐条选取和显示,记录预警信息所对应的漏洞处理信息,在漏洞处理完毕后自动取消预警信息并新增一条漏洞处理记录;所述可视化模块用于从所述软件漏洞处理模块获取漏洞处理信息和漏洞处理记录,对漏洞处理信息和漏洞处理记录进行分析,将漏洞信息分析结果进行可视化显示。
安全扫描与动态检测虽然可以帮助系统管理员有效发现软件存在的漏洞,但这种方式需要系统管理员人为发起,是否及时有效发现漏洞取决于人为因素。源代码扫描主要针对开放源代码的程序,通常只需扫描一次,虽然可以通过检查程序中不符合安全规则的文件结构、命名规则、函数、堆栈指针等,进而发现程序中可能隐含的安全缺陷,但无法对第三方技术组件进行有效扫描,更无法预知技术组件未来的漏洞。
与现有技术相比,本发明的基于软件源代码分析的安全漏洞预警方法基于源代码分析提取软件所使用的第三方技术组件,结合安全漏洞库形成软件系统、技术组件、漏洞信息之间的对应关系,实现软件漏洞主动预警,是对现有漏洞检测技术的一个有效补充;基于软件源代码分析的安全漏洞预警系统包括软件管理模块、源代码管理模块、源代码分析模块、漏洞数据库维护模块、软件漏洞预警模块、软件漏洞处理模块、可视化模块七个模块,通过上述模块可从软件系统的源代码中提取技术组件的名称与版本信息,建立技术组件库,从全球信息安全领域的漏洞数据库自动同步更新系统的漏洞信息,并建立软件系统、技术组件、漏洞信息之间的关联关系,根据同步到的漏洞信息与技术组件库中的组件名称以及版本号进行匹配,若能匹配则发出预警提示,不匹配则不做提示,从而达到自动预警的目的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于软件源代码分析的安全漏洞预警方法一实施例的流程示意图;
图2为本发明一种基于软件源代码分析的安全漏洞预警系统一实施例的模块关系图。
附图标记说明:110软件管理模块,120源代码管理模块,130源代码分析模块,140漏洞数据库维护模块,150软件漏洞预警模块,160软件漏洞处理模块,170可视化模块。
具体实施方式
为使本发明所要解决的技术问题、技术方案及有益效果更为清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,本发明提供一种基于软件源代码分析的安全漏洞预警方法,包括:
S101:收集并存储软件基本信息;其中,软件基本信息包括系统名称、系统开发语言、所在服务器操作系统名称及版本、所在服务器的IP地址,软件基本信息的收集为漏洞预警的信息匹配以及漏洞处理提供信息基础。
S102:根据收集的软件基本信息选取软件,对选取的软件进行源代码管理,建立软件与源代码之间的关联关系;具体的,源代码管理包括查询源代码目录结构和内容,添加、删除、修改、查询源代码,添加源代码包括直接上传源代码ZIP压缩包和从源代码平台上拉取源代码,源代码平台包括GitHub和GitLab。
S103:根据软件与源代码之间的关联关系选取源代码,从选取的源代码中自动解析第三方技术组件文件,如pom.xml、build.gradle、package.json等,建立技术组件库,建立软件与第三方技术组件之间的关联关系;具体的,解析第三方技术组件文件包括:对于遵循XML语法的技术组件文件(如pom.xml)采用XML解析方式提取依赖组件,对于遵循Json语法的技术组件文件(如package.json)采用Json解析方式提取依赖组件,对于遵循除XML语法和Json语法以外的语法的第三方技术组件文件采用正则表达式提取依赖组件。
S104:实时检测全球信息安全领域的漏洞数据库并自动同步源代码平台漏洞数据库的漏洞信息,将自动同步的漏洞信息与源代码平台技术组件库中的第三方技术组件进行匹配,包括将自动同步的漏洞信息中的漏洞名称、漏洞对应技术组件名称、对应技术组件版本号与技术组件库中的第三方技术组件进行匹配,建立漏洞信息与源代码平台第三方技术组件之间的关联关系;将自动同步的操作系统的漏洞与软件基本信息中的所在服务器操作系统名称进行匹配,建立漏洞信息与操作系统之间的关联关系。具体的,漏洞信息包括漏洞名称、漏洞类型、漏洞危害等级、漏洞对应技术组件名称以及对应技术组件版本号、漏洞发布时间、漏洞修复建议,本系统每天自动监测全球信息安全领域的漏洞库,一旦其发布新的漏洞,将及时同步漏洞信息,将自动同步的漏洞信息与技术组件库中的第三方技术组件、软件基本信息中的所在服务器操作系统名称进行匹配。
S105:根据建立的漏洞信息与第三方技术组件、软件之间的关联关系自动生成预警信息并发送预警信息;其中,预警信息包括漏洞名称、漏洞类型、漏洞危害等级、漏洞对应技术组件名称以及对应技术组件版本号、漏洞发布时间、漏洞修复建议以及存在漏洞的软件所在服务器的IP地址、漏洞风险等级、漏洞预警时间。具体的,软件漏洞预警包括漏洞信息与软件建立关联关系后,自动增加一条预警信息,在漏洞预警页面显示漏洞信息,同时根据预设的预警模板向管理员发送预警邮件和短信。预警模板包含漏洞名称、漏洞风险等级、漏洞预警时间等。在漏洞预警页面,本系统根据危害等级,将预警提示信息采用不同颜色进行展现,例如:高风险级别的使用红色,中风险级别使用黄色,低风险级别采用蓝色。为了便于快速定位目标漏洞,本页面提供多种查询条件,例如:风险等级、预警时间范围、漏洞名称、服务器IP地址等。
S106:对自动生成的预警信息进行逐条选取和显示,显示漏洞类型、漏洞危害等级和漏洞修复建议,记录预警信息所对应的漏洞处理信息,漏洞处理信息包括漏洞编号、漏洞处理时间、漏洞处理人员、漏洞处理方式及漏洞处理结果,在漏洞处理完毕后自动取消预警信息,同时在漏洞处理记录页面中新增一条漏洞处理记录;具体的,漏洞处理记录包括漏洞名称、漏洞风险等级、漏洞预警时间范围、漏洞处理时间范围及存在漏洞的软件所在服务器的IP地址,为便于查看漏洞处理记录,漏洞处理记录页面提供多种查询条件:例如:风险等级、预警时间范围、漏洞处理时间范围、漏洞名称、服务器IP地址等,同时可查看漏洞处理的详细信息。
S107:对漏洞处理信息和漏洞处理记录进行分析,将漏洞信息分析结果进行可视化显示。具体的,漏洞信息分析结果包括漏洞类型、漏洞危害等级、漏洞风险等级、漏洞数量、漏洞处理方式、漏洞处理结果、漏洞分布,将漏洞信息分析结果进行可视化显示包括:进行WEB大屏展示,大屏展示分为多个区域,如根据软件基本信息将未处理的漏洞所在的服务器的IP地址进行展示的漏洞分布区域,漏洞分布区域用于显示未处理的漏洞所在的服务器,将软件管理模块搜集的服务器信息在此进行集中展示,当某个IP对应的服务器上的软件存在漏洞信息时,在该服务器上将会有红色小图标提示漏洞数量;将未处理的漏洞的漏洞类型及漏洞数量进行展示的漏洞类型统计区域;将未处理的漏洞的漏洞风险等级以及不同漏洞风险等级的漏洞数量进行展示的漏洞风险等级区域;以及根据漏洞信息分析结果展示历史时段内不同漏洞风险等级的漏洞数量走势的漏洞变化趋势区域,历史时段一般设为一个月,即展示的是最近一个月内不同漏洞风险等级的漏洞数量走势。
如图2所示,本发明提供一种基于软件源代码分析的安全漏洞预警系统,包括软件管理模块110、源代码管理模块120、源代码分析模块130、漏洞数据库维护模块140、软件漏洞预警模块150、软件漏洞处理模块160和可视化模块170。
软件管理模块110用于收集并存储软件基本信息,维护软件基本信息,源代码管理模块120用于从软件管理模块110获取软件基本信息,根据软件基本信息选取软件,对选取的软件进行源代码管理,维护软件的源代码,建立软件与源代码之间的关联关系,源代码分析模块130用于从源代码管理模块120获取软件与源代码之间的关联关系,根据软件与源代码之间的关联关系选取源代码,从选取的源代码中自动解析第三方技术组件文件并建立技术组件库,建立软件与第三方技术组件之间的关联关系,漏洞数据库维护模块140用于实时检测全球信息安全领域的漏洞数据库并自动同步漏洞数据库的漏洞信息,漏洞数据库维护模块140从源代码分析模块130获取软件与第三方技术组件之间的关联关系,将自动同步的漏洞信息与技术组件库中的第三方技术组件进行匹配,建立漏洞信息与第三方技术组件之间的关联关系;软件漏洞预警模块150用于从漏洞数据库维护模块140获取漏洞信息与第三方技术组件之间的关联关系,根据漏洞信息与第三方技术组件、软件之间的关联关系自动生成预警信息并发送预警信息;软件漏洞处理模块160用于从软件漏洞预警模块150获取预警信息,对预警信息进行逐条选取和显示,记录预警信息所对应的漏洞处理信息,在漏洞处理完毕后自动取消预警信息并新增一条漏洞处理记录;可视化模块170用于从软件漏洞处理模块160获取漏洞处理信息和漏洞处理记录,对漏洞处理信息和漏洞处理记录进行分析,将漏洞信息分析结果进行可视化显示。
本发明的基于软件源代码分析的安全漏洞预警方法基于源代码分析提取软件所使用的第三方技术组件,结合安全漏洞库形成软件系统、技术组件、漏洞信息之间的对应关系,实现软件漏洞主动预警,是对现有漏洞检测技术的一个有效补充;基于软件源代码分析的安全漏洞预警系统包括软件管理模块、源代码管理模块、源代码分析模块、漏洞数据库维护模块、软件漏洞预警模块、软件漏洞处理模块、可视化模块七个模块,通过上述模块可从软件系统的源代码中提取技术组件的名称与版本信息,建立技术组件库,从全球信息安全领域的漏洞数据库自动同步更新系统的漏洞信息,并建立软件系统、技术组件、漏洞信息之间的关联关系,根据同步到的漏洞信息与技术组件库中的组件名称以及版本号进行匹配,若能匹配则发出预警提示,不匹配则不做提示,从而达到自动预警的目的。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明实施例的,不同方面的许多其它变化,为了简明它们没有在细节中提供。
本发明实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种基于软件源代码分析的安全漏洞预警方法,其特征在于,包括:
S101:收集并存储软件基本信息;
S102:根据收集的软件基本信息选取软件,对选取的软件进行源代码管理,建立软件与源代码之间的关联关系;
S103:根据软件与源代码之间的关联关系选取源代码,从选取的源代码中自动解析第三方技术组件文件并建立技术组件库,建立软件与第三方技术组件之间的关联关系;
S104:实时检测全球信息安全领域的漏洞数据库并自动同步所述漏洞数据库的漏洞信息,将自动同步的漏洞信息与所述技术组件库中的第三方技术组件进行匹配,建立漏洞信息与所述第三方技术组件之间的关联关系;
S105:根据建立的漏洞信息与第三方技术组件、软件之间的关联关系自动生成预警信息并发送预警信息;
S106:对预警信息进行逐条选取和显示,记录预警信息所对应的漏洞处理信息,在漏洞处理完毕后自动取消预警信息并新增一条漏洞处理记录;
S107:对漏洞处理信息和漏洞处理记录进行分析,将漏洞信息分析结果进行可视化显示。
2.如权利要求1所述的基于软件源代码分析的安全漏洞预警方法,其特征在于,所述软件基本信息包括系统名称、系统开发语言、所在服务器操作系统名称及版本、所在服务器的IP地址。
3.如权利要求1所述的基于软件源代码分析的安全漏洞预警方法,其特征在于,所述源代码管理包括查询源代码目录结构和内容,添加、删除、修改、查询源代码,所述添加源代码包括直接上传源代码压缩包和从源代码平台上拉取源代码。
4.如权利要求1所述的基于软件源代码分析的安全漏洞预警方法,其特征在于,所述解析第三方技术组件文件包括:对于遵循XML语法的第三方技术组件文件采用XML解析方式提取依赖组件,对于遵循Json语法的第三方技术组件文件采用Json解析方式提取依赖组件,对于遵循除XML语法和Json语法以外的语法的第三方技术组件文件采用正则表达式提取依赖组件。
5.如权利要求1所述的基于软件源代码分析的安全漏洞预警方法,其特征在于,所述S103还包括将自动同步的操作系统的漏洞与所述软件基本信息中的所在服务器操作系统名称进行匹配,建立漏洞信息与操作系统之间的关联关系,所述漏洞信息包括漏洞名称、漏洞类型、漏洞危害等级、漏洞对应技术组件名称以及对应技术组件版本号、漏洞发布时间、漏洞修复建议,所述将自动同步的漏洞信息与所述技术组件库中的第三方技术组件进行匹配包括将自动同步的漏洞信息中的漏洞名称、漏洞对应技术组件名称、对应技术组件版本号与所述技术组件库中的第三方技术组件进行匹配。
6.如权利要求1所述的基于软件源代码分析的安全漏洞预警方法,其特征在于,所述预警信息包括漏洞名称、漏洞类型、漏洞危害等级、漏洞对应技术组件名称以及对应技术组件版本号、漏洞发布时间、漏洞修复建议以及存在所述漏洞的软件所在服务器的IP地址、漏洞风险等级、漏洞预警时间。
7.如权利要求1所述的基于软件源代码分析的安全漏洞预警方法,其特征在于,所述漏洞处理信息包括漏洞编号、漏洞处理时间、漏洞处理人员、漏洞处理方式及漏洞处理结果,所述漏洞处理记录包括漏洞名称、漏洞风险等级、漏洞预警时间范围、漏洞处理时间范围及存在所述漏洞的软件所在服务器的IP地址。
8.如权利要求1所述的基于软件源代码分析的安全漏洞预警方法,其特征在于,所述漏洞信息分析结果包括漏洞类型、漏洞危害等级、漏洞风险等级、漏洞数量、漏洞处理方式、漏洞处理结果、漏洞分布,所述将漏洞信息分析结果进行可视化显示包括:根据所述软件基本信息将未处理的漏洞所在的服务器的IP地址进行展示,将未处理的漏洞的漏洞类型及漏洞数量进行展示,将未处理的漏洞的漏洞风险等级以及不同漏洞风险等级的漏洞数量进行展示,根据漏洞信息分析结果展示历史时段内不同漏洞风险等级的漏洞数量走势。
9.一种基于软件源代码分析的安全漏洞预警系统,其特征在于,包括软件管理模块、源代码管理模块、源代码分析模块、漏洞数据库维护模块、软件漏洞预警模块、软件漏洞处理模块和可视化模块;
所述软件管理模块用于收集并存储软件基本信息;
所述源代码管理模块用于从所述软件管理模块获取软件基本信息,根据所述软件管理模块的软件基本信息选取软件,对选取的软件进行源代码管理,建立软件与源代码之间的关联关系;
所述源代码分析模块用于从所述源代码管理模块获取软件与源代码之间的关联关系,根据所述软件与源代码之间的关联关系选取源代码,从选取的源代码中自动解析第三方技术组件文件并建立技术组件库,建立软件与第三方技术组件之间的关联关系;
所述漏洞数据库维护模块用于实时检测全球信息安全领域的漏洞数据库并自动同步所述漏洞数据库的漏洞信息,所述漏洞数据库维护模块从所述源代码分析模块获取软件与第三方技术组件之间的关联关系,将自动同步的漏洞信息与所述技术组件库中的第三方技术组件进行匹配,建立漏洞信息与所述第三方技术组件之间的关联关系;
所述软件漏洞预警模块用于从所述漏洞数据库维护模块获取漏洞信息与第三方技术组件之间的关联关系,根据漏洞信息与第三方技术组件、软件之间的关联关系自动生成预警信息并发送预警信息;
所述软件漏洞处理模块用于从所述软件漏洞预警模块获取预警信息,对所述预警信息进行逐条选取和显示,记录预警信息所对应的漏洞处理信息,在漏洞处理完毕后自动取消预警信息并新增一条漏洞处理记录;
所述可视化模块用于从所述软件漏洞处理模块获取漏洞处理信息和漏洞处理记录,对漏洞处理信息和漏洞处理记录进行分析,将漏洞信息分析结果进行可视化显示。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111023285.7A CN113449306A (zh) | 2021-09-02 | 2021-09-02 | 一种基于软件源代码分析的安全漏洞预警方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111023285.7A CN113449306A (zh) | 2021-09-02 | 2021-09-02 | 一种基于软件源代码分析的安全漏洞预警方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113449306A true CN113449306A (zh) | 2021-09-28 |
Family
ID=77819415
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111023285.7A Pending CN113449306A (zh) | 2021-09-02 | 2021-09-02 | 一种基于软件源代码分析的安全漏洞预警方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113449306A (zh) |
Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107800670A (zh) * | 2016-09-05 | 2018-03-13 | 百度在线网络技术(北京)有限公司 | 用于预警网站安全的方法和装置 |
CN108712396A (zh) * | 2018-04-27 | 2018-10-26 | 广东省信息安全测评中心 | 网络资产管理与漏洞治理系统 |
CN110795346A (zh) * | 2019-10-22 | 2020-02-14 | 苏州浪潮智能科技有限公司 | 产品监控方法、装置、设备及可读存储介质 |
CN110806978A (zh) * | 2019-10-31 | 2020-02-18 | 吉林亿联银行股份有限公司 | 一种第三方组件的缺陷管理方法及装置 |
CN110909363A (zh) * | 2019-11-25 | 2020-03-24 | 中国人寿保险股份有限公司 | 基于大数据的软件第三方组件漏洞应急响应系统及方法 |
CN111625839A (zh) * | 2020-05-29 | 2020-09-04 | 深圳前海微众银行股份有限公司 | 第三方组件漏洞检测方法、装置、设备及计算机存储介质 |
CN111680302A (zh) * | 2020-06-08 | 2020-09-18 | 中国银行股份有限公司 | 第三方组件漏洞扫描方法及装置 |
CN112016091A (zh) * | 2020-07-17 | 2020-12-01 | 安徽三实信息技术服务有限公司 | 一种基于组件识别的漏洞预警信息生成方法 |
CN112016093A (zh) * | 2020-08-11 | 2020-12-01 | 安徽三实信息技术服务有限公司 | 一种用于漏洞标记的方法 |
CN112182588A (zh) * | 2020-10-22 | 2021-01-05 | 中国人民解放军国防科技大学 | 基于威胁情报的操作系统漏洞分析检测方法及系统 |
CN112346964A (zh) * | 2020-09-07 | 2021-02-09 | 惠州市德赛西威智能交通技术研究院有限公司 | 一种智能网联汽车车载终端漏洞管理系统及方法 |
CN112579476A (zh) * | 2021-02-23 | 2021-03-30 | 北京北大软件工程股份有限公司 | 一种漏洞和软件对齐的方法、装置以及存储介质 |
CN112800430A (zh) * | 2021-02-01 | 2021-05-14 | 苏州棱镜七彩信息科技有限公司 | 适用于开源组件的安全与合规治理方法 |
CN112868008A (zh) * | 2020-04-28 | 2021-05-28 | 深圳开源互联网安全技术有限公司 | Java开源组件的漏洞检测方法、装置及存储介质 |
CN112883342A (zh) * | 2021-03-26 | 2021-06-01 | 中国工商银行股份有限公司 | 一种组件管控方法、装置及设备 |
-
2021
- 2021-09-02 CN CN202111023285.7A patent/CN113449306A/zh active Pending
Patent Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107800670A (zh) * | 2016-09-05 | 2018-03-13 | 百度在线网络技术(北京)有限公司 | 用于预警网站安全的方法和装置 |
CN108712396A (zh) * | 2018-04-27 | 2018-10-26 | 广东省信息安全测评中心 | 网络资产管理与漏洞治理系统 |
CN110795346A (zh) * | 2019-10-22 | 2020-02-14 | 苏州浪潮智能科技有限公司 | 产品监控方法、装置、设备及可读存储介质 |
CN110806978A (zh) * | 2019-10-31 | 2020-02-18 | 吉林亿联银行股份有限公司 | 一种第三方组件的缺陷管理方法及装置 |
CN110909363A (zh) * | 2019-11-25 | 2020-03-24 | 中国人寿保险股份有限公司 | 基于大数据的软件第三方组件漏洞应急响应系统及方法 |
CN112868008A (zh) * | 2020-04-28 | 2021-05-28 | 深圳开源互联网安全技术有限公司 | Java开源组件的漏洞检测方法、装置及存储介质 |
CN111625839A (zh) * | 2020-05-29 | 2020-09-04 | 深圳前海微众银行股份有限公司 | 第三方组件漏洞检测方法、装置、设备及计算机存储介质 |
CN111680302A (zh) * | 2020-06-08 | 2020-09-18 | 中国银行股份有限公司 | 第三方组件漏洞扫描方法及装置 |
CN112016091A (zh) * | 2020-07-17 | 2020-12-01 | 安徽三实信息技术服务有限公司 | 一种基于组件识别的漏洞预警信息生成方法 |
CN112016093A (zh) * | 2020-08-11 | 2020-12-01 | 安徽三实信息技术服务有限公司 | 一种用于漏洞标记的方法 |
CN112346964A (zh) * | 2020-09-07 | 2021-02-09 | 惠州市德赛西威智能交通技术研究院有限公司 | 一种智能网联汽车车载终端漏洞管理系统及方法 |
CN112182588A (zh) * | 2020-10-22 | 2021-01-05 | 中国人民解放军国防科技大学 | 基于威胁情报的操作系统漏洞分析检测方法及系统 |
CN112800430A (zh) * | 2021-02-01 | 2021-05-14 | 苏州棱镜七彩信息科技有限公司 | 适用于开源组件的安全与合规治理方法 |
CN112579476A (zh) * | 2021-02-23 | 2021-03-30 | 北京北大软件工程股份有限公司 | 一种漏洞和软件对齐的方法、装置以及存储介质 |
CN112883342A (zh) * | 2021-03-26 | 2021-06-01 | 中国工商银行股份有限公司 | 一种组件管控方法、装置及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10853570B2 (en) | Redaction engine for electronic documents with multiple types, formats and/or categories | |
US9871815B2 (en) | Method and system for automated computer vulnerability tracking | |
US11487539B2 (en) | Systems and methods for automating and monitoring software development operations | |
CN101237326A (zh) | 设备日志实时解析的方法、装置和系统 | |
CN112668010A (zh) | 扫描工业控制系统的漏洞的方法、系统及计算设备 | |
US20230327942A1 (en) | Data detection method and apparatus, electronic device, computer storage medium, and computer program product | |
CN111767573A (zh) | 数据库安全管理方法、装置、电子设备及可读存储介质 | |
CN106778264A (zh) | 一种移动客户端的应用程序分析方法及分析系统 | |
CN112799722A (zh) | 命令识别方法、装置、设备和存储介质 | |
CN111985789A (zh) | 一种车载终端信息安全威胁分析和风险评估系统及方法 | |
CN115982012A (zh) | 一种接口管理能力成熟度的评估模型及方法 | |
CN113010208B (zh) | 一种版本信息的生成方法、装置、设备及存储介质 | |
CN112181786B (zh) | 一种巡检应用的配置方法、装置及设备 | |
WO2023151397A1 (zh) | 应用程序部署方法、装置、设备及介质 | |
CN113449306A (zh) | 一种基于软件源代码分析的安全漏洞预警方法及系统 | |
US20230094119A1 (en) | Scanning of Content in Weblink | |
KR102051580B1 (ko) | Cdisc 기반 통합 임상 시험 장치 | |
CN115481442A (zh) | 数据库表内数据的加密方法、机器可读存储介质与计算机设备 | |
CN115269424A (zh) | 生产流量的自动回归测试方法、装置、设备及存储介质 | |
CN115033639A (zh) | 一种生成集群间数据共享的关系图的方法和相关装置 | |
CN115114109A (zh) | 一种标准化管理数据检验的方法 | |
CN117421198B (zh) | 一种基于安全的可视化资产管理系统和方法 | |
CN115296888B (zh) | 数据雷达监测系统 | |
CN111723117A (zh) | 大数据产品开发筛选方法、装置及计算机可读存储介质 | |
CN117857301A (zh) | 一种网络测绘预警方法及其系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210928 |