CN113806748A - 一种提升漏洞修复满意度的方法、装置及存储介质 - Google Patents
一种提升漏洞修复满意度的方法、装置及存储介质 Download PDFInfo
- Publication number
- CN113806748A CN113806748A CN202110929838.9A CN202110929838A CN113806748A CN 113806748 A CN113806748 A CN 113806748A CN 202110929838 A CN202110929838 A CN 202110929838A CN 113806748 A CN113806748 A CN 113806748A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- user
- attention
- contribution
- repair
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 68
- 230000008439 repair process Effects 0.000 title claims abstract description 66
- 238000012163 sequencing technique Methods 0.000 claims abstract description 17
- 230000000694 effects Effects 0.000 claims description 32
- 238000012545 processing Methods 0.000 claims description 13
- 238000005516 engineering process Methods 0.000 claims description 7
- 238000011084 recovery Methods 0.000 claims description 7
- 238000012038 vulnerability analysis Methods 0.000 claims description 6
- 238000004364 calculation method Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 description 24
- 238000012423 maintenance Methods 0.000 description 17
- 238000007726 management method Methods 0.000 description 7
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000007935 neutral effect Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本申请涉及提升漏洞修复满意度的方法、装置及存储介质。其中方法包括:根据用户的贡献,为每个用户配置相应的第一因子;统计并采集用户对未处理漏洞的关注度;通过累加相关用户的关注度与相应的第一因子的乘积来获取相应的综合关注度;判断漏洞是否为有评级;是则进一步将有评级漏洞的综合关注度结合相应评级来计算漏洞的修复优先级;将有评级的漏洞按照修复优先级进行排序并记录;否则将无评级的漏洞按照综合关注度进行排序并记录;根据有评级漏洞和无评级漏洞的排序进行漏洞修复。利用本申请对漏洞修复顺序进行规划,实现有针对、更效率、更准确地为用户提供漏洞修复服务,为用户提供更好的产品体验。
Description
技术领域
本申请涉及漏洞处理规划领域,尤其涉及一种提升漏洞修复满意度的方法、装置及存储介质。
背景技术
漏洞是在硬件、软件或者协议的具体实现或者系统的安全策略上存在缺陷。漏洞的存在可能被黑客利用,使得黑客能够在为获取系统权限的情况下入侵到系统,对系统的安全造成威胁。
漏洞的存在是不可避免的,对于开发方而言,只能尽量早对发现的漏洞进行修补,避免漏洞被利用。由于开发方的团队针对漏洞开发补丁的效率是有限的,且漏洞所能引起的风险也是不同的;为了尽量减小漏洞造成的风险,需要合理规划漏洞修补的顺序,开发方优先处理破坏性较强的漏洞。
现有技术中,在针对漏洞开发补丁前,需要根据漏洞的破坏性对漏洞进行评估,将漏洞分为不同的等级,开发方优先处理破坏性强的漏洞。然而漏洞除了对安全层面的影响,还会影响到用户的产品体验,如果能够将影响用户体验的漏洞先修复就能够为用户提供更好的产品体验,现有漏洞评级技术中,缺乏对用户因素的考量,因而通过现有漏洞评级技术获取的漏洞修复顺序可能无法给用户提供更好的产品体验。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本申请提供一种提升漏洞修复满意度的方法、装置及存储介质。
第一方面,本申请提供一种提升漏洞修复满意度的方法,包括:
根据用户的贡献为每个用户配置相应的第一因子;
统计并采集用户对未处理的漏洞的关注度;
对于未处理的漏洞,通过累加相关用户的关注度与相应的第一因子的乘积来获取相应的综合关注度;
判断未处理的漏洞是否为有评级;
是则进一步将有评级漏洞的综合关注度结合相应评级来计算漏洞的修复优先级;
将有评级的漏洞按照修复优先级进行排序并记录;
否则将无评级的漏洞按照综合关注度进行排序并记录;
根据有评级漏洞和无评级漏洞的排序进行漏洞修复。
更进一步地,基于web网站来创建漏洞服务社区,所述漏洞服务社区包括漏洞提交板块、漏洞处理意见提交板块、漏洞技术探讨板块、漏洞信息公示板块。
更进一步地,所述根据用户的贡献为每个用户配置相应的第一因子包括:
为所述漏洞服务社区的每个用户配置表示用户贡献的贡献变量;
考量用户与开发方的合作情况来为用户的贡献变量赋相应的初始值;
根据用户在所述漏洞服务社区开展的活动计算相应的贡献分值,根据相应的贡献分值更新用户的贡献变量;所述活动包括用户提交漏洞的活动,用户提交漏洞处理意见的活动和用户分享技术的活动;
从漏洞服务社区采集用户的贡献变量当前值,并根据贡献变量当前值计算相应的第一因子。
更进一步地,验证提交的漏洞是否存在,是则贡献变量当前值等于贡献变量当前值自加第一贡献分值,第一贡献分值等于设定的第一分数值与第一漏洞权重乘积的累加;
验证提交的漏洞处理意见是否有效,是则贡献变量当前值等于贡献变量当前值自加第二贡献分值,第二贡献分值等于设定的第二分数值与第二漏洞权重乘积的累加值;
对分享漏洞知识的活动进行赞赏,贡献变量当前值等于贡献变量当前值自加第三贡献分值,第三贡献分值等于设定的第三分数值与赞赏数量乘积。
更进一步地,统计并采集用户对未处理漏洞的关注度包括:
利用所述漏洞信息公示板块向用户公示未处理漏洞的漏洞信息;
所述漏洞信息公示板块向用户提供针对每一个未处理漏洞的关注选项;
用户通过关注选项对相关漏洞设置关注,漏洞服务社区将关注情况记录于所述漏洞服务社区的后台;
采集所述漏洞服务社区的后台中记录的用户对漏洞信息的关注情况来获取用户对漏洞的关注度。
更进一步地,对于未处理的漏洞,累加相关用户的关注度与相应的第一因子的乘积获取相应的综合关注度包括:
确定需要计算综合关注度的漏洞的漏洞名称;
根据漏洞名称获取漏洞相应的用户关注度;
获取相应用户的第一因子;
利用如下公式计算漏洞的综合关注度:
其中S表示综合关注度,a表示第一因子,b表示用户的关注度,i表示不同的用户,j表示不同的漏洞,I表示对漏洞关注的用户量,J表示漏洞最大量;
记录漏洞名称及相应的综合关注度。
更进一步地,将有评级漏洞的综合关注度结合相应评级来计算漏洞的修复优先级包括:
获取有评级漏洞的评级;
根据有评级漏洞的评级配置相应的第二因子;
根据如下公式计算有评级漏洞的修复优先级:
Pj=Sj×cj,
其中,P表示修复优先级,修复优先级的数值越大,表明优先级越高,j表示不同的漏洞,S表示综合关注度,c表示第二因子。
第二方面,本申请提供一种决定漏洞的修复顺序的装置,包括:
第一计算模块,所述第一计算模块用于根据第一因子和用户关注度计算漏洞的综合关注度;
判断模块,所述判断模块用于判断漏洞是否为有评级;
第二计算模块,所述第二计算模块用于计算有评级漏洞的恢复优选级;
排序模块,所述排序模块用于针对有评级漏洞按恢复优先级进行排序;针对无评级漏洞按综合关注度进行排序。
更进一步地,所述决定漏洞的修复顺序的装置还包括评级模块,所述评级模块用于对部分漏洞进行评级;
第一因子配置模块,所述第一因子配置模块用于针对用户情况给用户配置第一因子;
用户关注度采集模块,所述用户关注度采集模块用于采集用户对漏洞的关注度。
第三方面,本申请提供一种实现提升漏洞修复满意度的方法的存储介质,所述实现提升漏洞修复满意度的方法的存储介质存储至少一条指令,执行所述指令实现所述的提升漏洞修复满意度的方法。
本申请实施例提供的上述技术方案与现有技术相比具有如下优点:
本申请利用漏洞服务社区来维护活跃于漏洞服务社区的用户的贡献,根据用户的贡献配置用户影响漏洞修复顺序的第一因子。一方面本申请中用户的贡献的初始值是根据用户与开发方的合作情况配置的,为与开发方合作程度深的用户配置相对较大的初始的贡献值,使与开发方合作程度更深的用户获得更大的第一因子即对漏洞修复顺序的影响权重更大;另一方面,用户的贡献根据用户在漏洞服务社区中进行的提交漏洞活动、提交漏洞处理意见活动以及分享技术活动而增加,在漏洞服务社区展示漏洞相关技能的用户获取更高的第一因子,使得技术实力强的用户对漏洞修复顺序的影响权重更大。
考虑到实际情况中,漏洞处理量一般较大,开发方不可能针对每个漏洞进行专业的评级,一般仅对部分漏洞进行专业评级。对于有评级的漏洞,本申请根据漏洞的评级来针对每个漏洞配置能够影响漏洞修复顺序的第二因子,并本申请进一步将有评级的漏洞的综合关注度加权第二因子来计算每个有评级漏洞的修复优先级,按照修复优先级确定有评级漏洞的排序,再按照有评级漏洞的排序进行有评级漏洞的修复。
本申请将用户对漏洞的关注度加权相应的第一因子,从而获得用户针对漏洞的加权关注度;针对于未处理的漏洞,累加关注该漏洞的全部用户的加权关注度来计算该漏洞的综合关注度。对于无评级漏洞,利用综合关注度来确定无评级漏洞的排序,再按照无评级漏洞的排序对无评级漏洞进行漏洞修复。
综上,利用本申请可以有针对、更效率、更准确的为用户提供漏洞修复服务,确保漏洞修复服务能为用户提供更好的产品体验。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的漏洞服务社区配置的贡献维护系统维护用户贡献的流程图;
图2为本申请实施例提供的贡献维护系统根据用户提交漏洞活动维护贡献的流程图;
图3为本申请实施例提供的贡献维护系统根据用户提交漏洞处理意见活动维护贡献的流程图;
图4为本申请实施例提供的提升漏洞修复满意度的方法的流程图;
图5为本申请实施例提供的提升漏洞修复满意度的方法中计算综合关注度的流程图;
图6为本申请实施例提供的提升漏洞修复满意度的方法中对部分漏洞进行评级的流程图;
图7为本申请实施例提供的提升漏洞修复满意度的方法中计算有评级漏洞的恢复优先级的流程图;
图8为本申请实施例提供的实现决定漏洞的修复顺序的装置与web服务器用户的连接关系示意图;
图9为本申请实施例提供的实现决定漏洞的修复顺序的装置的架构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
实施例1
本申请实施例提供一种提升漏洞修复满意度的方法。
所述提升漏洞修复满意度的方法利用漏洞服务社区统计用户对漏洞关注度,利用漏洞服务社区提供贡献值。
通过web网站来创建漏洞服务社区。具体实施过程中,所述漏洞服务社区用于提供用户对漏洞的关注度和用户的贡献值。所述漏洞服务社区包括漏洞提交板块、漏洞处理意见提交板块、漏洞技术探讨板块、漏洞信息公示板块。
其中,漏洞服务社区的用户通过所述漏洞提交板块提交相关产品的漏洞。漏洞服务社区的用户通过所述漏洞处理意见提交板块提交相关漏洞的处理意见。用户通过所述漏洞技术探讨板块发布漏洞相关的教程、漏洞处理相关的工具等相关漏洞知识,用户还可以通过漏洞技术探讨板块发送漏洞知识悬赏,通过漏洞知识悬赏来请求其他用户分享相应的漏洞知识;通过所述漏洞信息公示板块向用户公开未经处理的漏洞,所述漏洞信息公示板块配置有针对每个漏洞的关注选项,用户通过所述关注选项来对相关漏洞设置关注,漏洞服务社区将关注情况记录于所述漏洞服务社区的后台。
具体实施过程中,所述漏洞服务社区配置用户管理系统,所述用户管理系统为漏洞服务社区的使用者提供注册接口,所述注册接口用于为使用者提供注册为漏洞服务社区的用户的途径;所述用户管理系统管理注册用户的账户信息;所述用户管理系统为用户提供认证接口,所述认证接口用于为用户提供登录漏洞服务社区的途径。在本申请实施例中,所述用户管理系统还提供用户身份认证接口,用户通过身份认证接口提交真实身份信息,所述用户管理系统通知漏洞服务社区的管理员对用户提交的真实身份信息进行验证,管理员根据真实身份信息来确定用户与开发方的合作情况。
具体实施过程中,所述漏洞服务社区配置贡献维护系统,所述贡献维护系统用于维护每个用户的贡献,参阅图1所示,所述贡献维护系统维护用户贡献的包括:
S10,贡献维护系统为每个用户配置表示用户贡献的贡献变量;
S20,根据用户与开发方的合作情况来确定贡献变量的初始值。具体的,根据用户管理系统中用户提交的真实身份信息确认用户身份,并进一步根据用户身份确认用户与开发方之间的合作情况,用户与开发方合作程度越深,贡献变量的初始值越大,如:按产品购买量预先划分不同等级,购买量多的等级高,等级越高对应设置越大的贡献变量;
S30,将决定的用户贡献变量的初始值输入所述贡献维护系统,所述贡献维护系统将输入的贡献变量的初始值赋值给相应用户的贡献变量;
S40,所述贡献维护系统根据用户在所述漏洞服务社区开展的活动计算相应的贡献分值,根据用户的贡献分值更新用户的贡献变量;
具体的,所述活动包括用户提交漏洞的活动,用户提交漏洞处理意见的活动和用户分享技术的活动;
具体实施过程中,当用户进行提交漏洞的活动时,参阅图2所示,过程如下:所述贡献维护系统请求管理员对用户提交的漏洞进行验证,管理员验证用户提交的漏洞是否存在,如果经管理员验证提交的漏洞存在,所述贡献维护系统将相应用户的当前贡献变量加上第一贡献分值,第一贡献分值等于设定的第一分数值与第一漏洞权重乘积的累加。
具体实施过程中,当用户进行提交漏洞处理意见的活动时,对用户提交漏洞处理意见的活动进行评价,参阅图3所示,过程如下:所述贡献维护系统请求管理员对提交的漏洞处理意见进行验证,管理员验证用户提交的漏洞处理意见是否有效,如果经管理员验证提交的漏洞处理意见有效,所述贡献维护系统将相应用户的当前贡献变量加上第二贡献分值,第二贡献分值等于设定的第二分数值与第二漏洞权重乘积的累加值。
具体实施过程中,当用户进行分享漏洞知识的活动时,通过其他用户对分享漏洞知识用户进行赞赏,所述贡献维护系统根据赞赏情况将相应用户的当前贡献变量加上第三贡献分值,第三贡献分值等于设定的第三分数值与赞赏数量乘积。
参阅图4所示,所述提升漏洞修复满意度的方法包括:
S100,从所述漏洞服务社区采集用户的贡献变量的当前值。采集所述漏洞服务社区后台记录的用户及其贡献变量值,通过{用户:贡献变量值}的键值对方式保存用户及其贡献变量值。
S200,根据用户的贡献变量的当前值,为每个用户配置相应的第一因子;具体实施过程中,预先设定贡献与第一因子的映射关系,所述映射关系实现利用贡献变量的当前值匹配相应的第一因子值。
S300,从所述漏洞服务社区采集用户对未处理漏洞的关注度;具体的,统计所述漏洞服务社区后台记录的用户对漏洞信息的关注情况来采集用户对漏洞的关注度。
S400,对于未处理的漏洞,通过累加相关用户的关注度与相应的第一因子的乘积来获取相应的综合关注度;具体的,参与图5所示,对于未处理的漏洞,通过累加相关用户的关注度与相应的第一因子的乘积来获取相应的综合关注度包括:
S401,确定需要计算综合关注度的漏洞的漏洞名称;
S402,获取步骤S401确定的漏洞相应的用户关注度;
S403,获取相应用户的第一因子;
S404,利用如下公式计算漏洞的综合关注度:
其中S表示综合关注度,a表示第一因子,b表示用户的关注度,i表示不同的用户,j表示不同的漏洞,I表示对漏洞关注的用户量,J表示漏洞最大量。
S405,记录漏洞名称及相应的综合关注度。
S500,判断漏洞是否为有评级;是则执行步骤S600和S700,否则执行S800。
具体实施过程中,对部分未处理的漏洞进行评级。根据漏洞所属项目的项目情况、利用漏洞的困难度以及漏洞的危害性筛选出部分漏洞来进行评级;
其中,漏洞修复的顺序是与漏洞所属项目的项目情况相关的;如对于旧的产品版本,开发方若未成立专门的项目团队来维护,则可能需要在当前项目结束后或者在当前项目进行过程的空档对旧的产品漏洞进行修复。当前正在进行的项目评级高,旧的项目评级低。应当理解的,项目的新旧对漏洞修复顺序影响的例子仅仅是为了说明项目情况对漏洞修复顺序的影响,并不对本申请具体限定。
其中,漏洞修复的顺序是与漏洞被利用的困难度相关的;漏洞被利用的困难度高,则漏洞被利用的机会就小,可以相应的晚一些修复。
其中,漏洞修复的顺序是与漏洞的危害性相关的;漏洞的危害性越大,则需要越早的对漏洞修复。
参阅图6所示,一种可行的实施方式是:
S501,根据项目的新旧来确定要评级的漏洞的范围。具体的,对属于在进行项目的漏洞进行评级,将属于在进行项目的漏洞设定一个初始评级。
S502,在确定要评级漏洞范围后,进一步分析有初始评级的漏洞的危害性和利用困难度,根据漏洞的危害性和利用困难度进一步对漏洞评级。
S503,在对漏洞评级完成后,对有评级的漏洞进行标注;具体实施过程中,针对每个漏洞配置一个布尔类型的标注,漏洞有评级则配置标注为真,漏洞无评级则配置标注为假。
S504,根据所述标注判断漏洞是否为有评级。
S600,进一步将有评级漏洞的综合关注度结合相应评级来计算漏洞的修复优先级;具体实施过程中,参阅图7所示,将有评级漏洞的综合关注度结合相应评级来计算漏洞的修复优先级包括:
S601,获取有评级漏洞的评级;
S602,根据有评级漏洞的评级配置相应的第二因子;
S603,根据如下公式计算有评级漏洞的修复优先级:
Pj=Sj×cj,
其中,P表示修复优先级,修复优先级的数值越大,表明优先级越高,j表示不同的漏洞,S表示综合关注度,c表示第二因子。
S700,将有评级的漏洞按照修复优先级进行排序并记录;
S800,将无评级的漏洞按照综合关注度进行排序并记录;
具体实施过程中,步骤S700和步骤S800采用归并排序的方法进行排序。归并排序的过程包括:
对全部待处理的漏洞n进行分组,分成两个子序列,每个子序列中包含n/2个漏洞;
将两个子序列中的漏洞分别进行归并排序;
再将两个子序列中的漏洞进行合并排序。
根据有评级漏洞和无评级漏洞的排序进行漏洞修复。
实施例2
本实施例提供一种决定漏洞的修复顺序的装置,参阅图8所示,所述决定漏洞的修复顺序的装置连接提供漏洞服务社区的web服务器,所述web服务器连接用户。
具体实施过程中,参阅图9所示,所述决定漏洞的修复顺序的装置包括:
第一计算模块,所述第一计算模块用于根据第一因子和用户关注度计算漏洞的综合关注度;
判断模块,所述判断模块用于判断漏洞是否为有评级;
第二计算模块,所述第二计算模块用于计算有评级漏洞的恢复优选级;
排序模块,所述排序模块用于针对有评级漏洞按恢复优先级进行排序;针对无评级漏洞按综合关注度进行排序。
具体实施过程中,所述决定漏洞的修复顺序的装置还包括评级模块,所述评级模块用于对部分漏洞进行评级并根据评级配置第二因子;
第一因子配置模块,所述第一因子配置模块用于针对用户情况给用户配置第一因子;具体的所述第一因子配置模块采集用户的贡献,并根据用户的贡献配置相应的第一因子。
用户关注度采集模块,所述用户关注度采集模块用于采集用户对漏洞的关注度。
实施例3
本实施例提供一种实现提升漏洞修复满意度的方法的存储介质。所述实现提升漏洞修复满意度的方法的存储介质存储至少一条指令,执行所述指令实现所述的提升漏洞修复满意度的方法。
本申请利用漏洞服务社区来维护活跃于漏洞服务社区的用户的贡献,根据用户的贡献配置用户影响漏洞修复顺序的第一因子。一方面本申请中用户的贡献的初始值是根据用户与开发方的合作情况配置的,为与开发方合作程度深的用户初始配置相对较大的贡献值,能够使与开发方合作程度更深的用户获得更大的第一因子,即能对漏洞修复顺序的影响权重更大;另一方面,用户的贡献根据用户在漏洞服务社区中进行的提交漏洞活动、提交漏洞处理意见活动以及分享技术活动而增加,使得在漏洞服务社区展示漏洞相关技能的用户获取更高的第一因子,使得技术实力强的用户对漏洞修复顺序的影响权重更大。
考虑到实际情况中,漏洞处理量一般较大,开发方不可能针对每个漏洞进行专业的评级,一般开发方仅对部分漏洞进行专业评级。对于有评级的漏洞,本申请根据漏洞的评级来针对每个漏洞配置能够影响漏洞修复顺序的第二因子,并本申请进一步将有评级的漏洞的综合关注度加权第二因子来计算每个有评级漏洞的修复优先级,按照修复优先级确定有评级漏洞的排序,再按照有评级漏洞的排序进行有评级漏洞的修复。
本申请将用户对漏洞的关注度加权相应的第一因子,从而获得用户针对漏洞的加权关注度;针对于未处理的漏洞,累加关注该漏洞的全部用户的加权关注度来计算该漏洞的综合关注度。对于无评级漏洞,利用综合关注度来确定无评级漏洞的排序,再按照无评级漏洞的排序对无评级漏洞进行漏洞修复。
综上,利用本申请对漏洞修复顺序进行规划,实现有针对、更效率、更准确的为用户提供漏洞修复服务,确保为用户提供更好的产品体验。
在本发明所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的具体实施方式,使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种提升漏洞修复满意度的方法,其特征在于,包括:
根据用户的贡献为每个用户配置相应的第一因子;
统计并采集用户对未处理的漏洞的关注度;
对于未处理的漏洞,通过累加相关用户的关注度与相应的第一因子的乘积来获取相应的综合关注度;
判断未处理的漏洞是否为有评级;
是则进一步将有评级漏洞的综合关注度结合相应评级来计算漏洞的修复优先级;
将有评级的漏洞按照修复优先级进行排序并记录;
否则将无评级的漏洞按照综合关注度进行排序并记录;
根据有评级漏洞和无评级漏洞的排序进行漏洞修复。
2.根据权利要求1所述一种提升漏洞修复满意度的方法,其特征在于,基于web网站来创建漏洞服务社区,所述漏洞服务社区包括漏洞提交板块、漏洞处理意见提交板块、漏洞技术探讨板块、漏洞信息公示板块。
3.根据权利要求2所述一种提升漏洞修复满意度的方法,其特征在于,所述根据用户的贡献为每个用户配置相应的第一因子包括:
为所述漏洞服务社区的每个用户配置表示用户贡献的贡献变量;
考量用户与开发方的合作情况来为用户的贡献变量赋相应的初始值;
根据用户在所述漏洞服务社区开展的活动计算相应的贡献分值,根据相应的贡献分值更新用户的贡献变量;所述活动包括用户提交漏洞的活动,用户提交漏洞处理意见的活动和用户分享技术的活动;
从漏洞服务社区采集用户的贡献变量当前值,并根据贡献变量当前值计算相应的第一因子。
4.根据权利要求3所述一种提升漏洞修复满意度的方法,其特征在于,验证提交的漏洞是否存在,是则贡献变量当前值等于贡献变量当前值自加第一贡献分值,第一贡献分值等于设定的第一分数值与第一漏洞权重乘积的累加;
验证提交的漏洞处理意见是否有效,是则贡献变量当前值等于贡献变量当前值自加第二贡献分值,第二贡献分值等于设定的第二分数值与第二漏洞权重乘积的累加值;
对分享漏洞知识的活动进行赞赏,贡献变量当前值等于贡献变量当前值自加第三贡献分值,第三贡献分值等于设定的第三分数值与赞赏数量乘积。
5.根据权利要求2所述一种提升漏洞修复满意度的方法,其特征在于,统计并采集用户对未处理漏洞的关注度包括:
利用所述漏洞信息公示板块向用户公示未处理漏洞的漏洞信息;
漏洞信息公示板块向用户提供针对每一个未处理漏洞的关注选项;
用户通过关注选项对相关漏洞设置关注,漏洞服务社区将关注情况记录于所述漏洞服务社区的后台;
采集所述漏洞服务社区的后台中记录的用户对漏洞信息的关注情况来获取用户对漏洞的关注度。
6.根据权利要求1所述一种提升漏洞修复满意度的方法,其特征在于,对于未处理的漏洞,累加相关用户的关注度与相应的第一因子的乘积获取相应的综合关注度包括:
确定需要计算综合关注度的漏洞的漏洞名称;
根据漏洞名称获取漏洞相应的用户关注度;
获取相应用户的第一因子;
利用如下公式计算漏洞的综合关注度:
其中,S表示综合关注度,a表示第一因子,b表示用户的关注度,i表示不同的用户,j表示不同的漏洞,I表示对漏洞关注的用户量,J表示漏洞最大量;
记录漏洞名称及相应的综合关注度。
7.根据权利要求1所述一种提升漏洞修复满意度的方法,其特征在于,将有评级漏洞的综合关注度结合相应评级来计算漏洞的修复优先级包括:
获取有评级漏洞的评级;
根据有评级漏洞的评级配置相应的第二因子;
根据如下公式计算有评级漏洞的修复优先级:
Pj=SJ×cj,
其中,P表示修复优先级,修复优先级的数值越大,表明优先级越高,j表示不同的漏洞,S表示综合关注度,c表示第二因子。
8.一种决定漏洞的修复顺序的装置,其特征在于,包括:
第一计算模块,所述第一计算模块用于根据第一因子和用户关注度计算漏洞的综合关注度;
判断模块,所述判断模块用于判断漏洞是否为有评级;
第二计算模块,所述第二计算模块用于计算有评级漏洞的恢复优选级;
排序模块,所述排序模块用于针对有评级漏洞按恢复优先级进行排序;针对无评级漏洞按综合关注度进行排序。
9.根据权利要求8所述一种决定漏洞的修复顺序的装置,其特征在于,还包括评级模块,所述评级模块用于对部分漏洞进行评级;
第一因子配置模块,所述第一因子配置模块用于针对用户情况给用户配置第一因子;
用户关注度采集模块,所述用户关注度采集模块用于采集用户对漏洞的关注度。
10.一种实现提升漏洞修复满意度的方法的存储介质,其特征在于,所述实现提升漏洞修复满意度的方法的存储介质存储至少一条指令,执行所述指令实现如权利要求1-7任一所述的提升漏洞修复满意度的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110929838.9A CN113806748B (zh) | 2021-08-13 | 2021-08-13 | 一种提升漏洞修复满意度的方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110929838.9A CN113806748B (zh) | 2021-08-13 | 2021-08-13 | 一种提升漏洞修复满意度的方法、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113806748A true CN113806748A (zh) | 2021-12-17 |
| CN113806748B CN113806748B (zh) | 2023-08-11 |
Family
ID=78893574
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110929838.9A Active CN113806748B (zh) | 2021-08-13 | 2021-08-13 | 一种提升漏洞修复满意度的方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113806748B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200162497A1 (en) * | 2018-11-19 | 2020-05-21 | Bmc Software, Inc. | Prioritized remediation of information security vulnerabilities based on service model aware multi-dimensional security risk scoring |
| US20210211450A1 (en) * | 2020-01-02 | 2021-07-08 | Saudi Arabian Oil Company | Method and system for prioritizing and remediating security vulnerabilities based on adaptive scoring |
| CN113139191A (zh) * | 2021-03-25 | 2021-07-20 | 国网浙江省电力有限公司衢州供电公司 | 一种漏洞处置修复优先级的统计方法 |
-
2021
- 2021-08-13 CN CN202110929838.9A patent/CN113806748B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200162497A1 (en) * | 2018-11-19 | 2020-05-21 | Bmc Software, Inc. | Prioritized remediation of information security vulnerabilities based on service model aware multi-dimensional security risk scoring |
| US20210211450A1 (en) * | 2020-01-02 | 2021-07-08 | Saudi Arabian Oil Company | Method and system for prioritizing and remediating security vulnerabilities based on adaptive scoring |
| CN113139191A (zh) * | 2021-03-25 | 2021-07-20 | 国网浙江省电力有限公司衢州供电公司 | 一种漏洞处置修复优先级的统计方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113806748B (zh) | 2023-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Rajapakse et al. | Challenges and solutions when adopting DevSecOps: A systematic review | |
| US10915636B1 (en) | Method of distributed discovery of vulnerabilities in applications | |
| US9697362B2 (en) | Security assessment incentive method for promoting discovery of computer software vulnerabilities | |
| EP3353700B1 (en) | Computer system for discovery of vulnerabilities in applications including guided tester paths based on application coverage measures | |
| CN110490330A (zh) | 一种基于区块链的分布式机器学习系统 | |
| EP2942750B1 (en) | Computer system for distributed discovery of vulnerabilities in applications | |
| Xiong et al. | Peertrust: Supporting reputation-based trust for peer-to-peer electronic communities | |
| Nagarajan et al. | Dynamic trust enhanced security model for trusted platform based services | |
| US10628764B1 (en) | Method of automatically generating tasks using control computer | |
| US20040122926A1 (en) | Reputation system for web services | |
| Garrido-Pelaz et al. | Shall we collaborate? A model to analyse the benefits of information sharing | |
| WO2018216000A1 (en) | A system and method for on-premise cyber training | |
| US11966475B2 (en) | Security level-based and trust-based recommendations for software components | |
| US11625486B2 (en) | Methods and systems of a cybersecurity scoring model | |
| Oliveira et al. | An approach for benchmarking the security of web service frameworks | |
| Artaiam et al. | Enhancing service-side QoS monitoring for web services | |
| Feng et al. | Voting systems with trust mechanisms in cyberspace: Vulnerabilities and defenses | |
| CN113806748B (zh) | 一种提升漏洞修复满意度的方法、装置及存储介质 | |
| Moore et al. | Valuing cybersecurity research datasets | |
| Gadiraju et al. | Breaking bad: Understanding behavior of crowd workers in categorization microtasks | |
| Chandrasekaran et al. | Toward a testbed for evaluating computational trust models: experiments and analysis | |
| Harrison et al. | An empirical study on the effectiveness of common security measures | |
| US11854101B1 (en) | Systems, methods, and storage media for interfacing at least one smart contact stored on a decentralized architecture with external data sources | |
| Holm et al. | A metamodel for web application injection attacks and countermeasures | |
| CN107835174A (zh) | 一种基于物联网的账本反欺诈系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |