CN114186236A - 一种安全漏洞的处理方法及装置 - Google Patents

一种安全漏洞的处理方法及装置 Download PDF

Info

Publication number
CN114186236A
CN114186236A CN202210144173.5A CN202210144173A CN114186236A CN 114186236 A CN114186236 A CN 114186236A CN 202210144173 A CN202210144173 A CN 202210144173A CN 114186236 A CN114186236 A CN 114186236A
Authority
CN
China
Prior art keywords
vulnerability
security
security vulnerability
detail information
list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210144173.5A
Other languages
English (en)
Other versions
CN114186236B (zh
Inventor
田兆楠
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Sohu New Media Information Technology Co Ltd
Original Assignee
Beijing Sohu New Media Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Sohu New Media Information Technology Co Ltd filed Critical Beijing Sohu New Media Information Technology Co Ltd
Priority to CN202210144173.5A priority Critical patent/CN114186236B/zh
Publication of CN114186236A publication Critical patent/CN114186236A/zh
Application granted granted Critical
Publication of CN114186236B publication Critical patent/CN114186236B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

本发明提供了一种安全漏洞的处理方法及装置,该方法为:获取安全漏洞列表;基于安全漏洞列表中各个安全漏洞的漏洞详情信息,对软件项目的配置文件进行扫描得到相应的扫描报告;对所有软件项目的扫描报告进行统计,得到统计详情信息;输出安全漏洞列表、安全漏洞列表中各个安全漏洞的漏洞详情信息、扫描报告和统计详情信息中的任意一项或组合。通过安全漏洞列表扫描出软件项目中的安全漏洞,以降低项目上线后的安全风险。并输出安全漏洞列表、安全漏洞列表中各个安全漏洞的漏洞详情信息、扫描报告和统计详情信息中的任意一项或组合,使安全人员可以全面了解关于安全漏洞的整体情况,进一步降低项目上线后的安全风险。

Description

一种安全漏洞的处理方法及装置
技术领域
本发明涉及数据处理技术领域,具体涉及一种安全漏洞的处理方法及装置。
背景技术
安全漏洞会大范围影响软硬件的安全性,例如影响系统本身及系统所支撑的软件、网络和服务等,为保证企业服务的正常运行和为保证用户使用体验,需要对上线前的项目进行扫描以寻找安全漏洞并对其进行处理,降低上线后的安全风险。因此,如何通过扫描来寻找安全漏洞对其进行处理,是目前亟需待解决的问题。
发明内容
有鉴于此,本发明实施例提供一种安全漏洞的处理方法及装置,以寻找安全漏洞并对其进行处理。
为实现上述目的,本发明实施例提供如下技术方案:
本发明实施例第一方面公开一种安全漏洞的处理方法,所述方法包括:
获取安全漏洞列表,所述安全漏洞列表中包含从指定通用漏洞数据库中获取的安全漏洞,每个所述安全漏洞存在相应的漏洞详情信息;
基于所述安全漏洞列表中各个所述安全漏洞的漏洞详情信息,对软件项目的配置文件进行扫描得到相应的扫描报告,所述扫描报告中至少包含:从所述软件项目中扫描出的安全漏洞的漏洞详情信息;
对所有所述软件项目的扫描报告进行统计,得到统计详情信息;
输出所述安全漏洞列表、所述安全漏洞列表中各个所述安全漏洞的漏洞详情信息、所述扫描报告和所述统计详情信息中的任意一项或组合。
优选的,基于所述安全漏洞列表中各个所述安全漏洞的漏洞详情信息,对软件项目的配置文件进行扫描得到相应的扫描报告,包括:
基于所述安全漏洞列表中各个所述安全漏洞的漏洞详情信息中的第一目标字段,对软件项目的配置文件中的第二目标字段进行匹配;将与所述第二目标字段相匹配的所述第一目标字段所对应的所述安全漏洞,作为从所述软件项目中扫描出的安全漏洞;
至少利用从所述软件项目中扫描出的安全漏洞的漏洞详情信息,生成所述软件项目的扫描报告。
优选的,漏洞详情信息中至少包括危险级别和漏洞编号;所述统计详情信息至少包括:从各个所述软件项目中扫描出的安全漏洞的危险级别的级别分布,从各个所述软件项目中扫描出的安全漏洞的漏洞编号的编号分布,以及每个扫描出的安全漏洞所涉及的所述软件项目。
优选的,漏洞详情信息中至少包括危险级别;
对软件项目的配置文件进行扫描得到相应的扫描报告之后,所述方法还包括:
若从所述软件项目中扫描出的安全漏洞的危险级别高于预设级别,以预设方式发送告警信息。
优选的,输出所述安全漏洞列表、所述安全漏洞列表中各个所述安全漏洞的漏洞详情信息、所述扫描报告和所述统计详情信息中的任意一项或组合,包括:
在可视化页面中,展示所述安全漏洞列表、所述安全漏洞列表中各个所述安全漏洞的漏洞详情信息、所述扫描报告和所述统计详情信息中的任意一项或组合。
本发明实施例第二方面公开一种安全漏洞的处理装置,所述装置包括:
获取单元,用于获取安全漏洞列表,所述安全漏洞列表中包含从指定通用漏洞数据库中获取的安全漏洞,每个所述安全漏洞存在相应的漏洞详情信息;
扫描单元,用于基于所述安全漏洞列表中各个所述安全漏洞的漏洞详情信息,对软件项目的配置文件进行扫描得到相应的扫描报告,所述扫描报告中至少包含:从所述软件项目中扫描出的安全漏洞的漏洞详情信息;
统计单元,用于对所有所述软件项目的扫描报告进行统计,得到统计详情信息;
输出单元,用于输出所述安全漏洞列表、所述安全漏洞列表中各个所述安全漏洞的漏洞详情信息、所述扫描报告和所述统计详情信息中的任意一项或组合。
优选的,所述扫描单元包括:
匹配模块,用于基于所述安全漏洞列表中各个所述安全漏洞的漏洞详情信息中的第一目标字段,对软件项目的配置文件中的第二目标字段进行匹配;将与所述第二目标字段相匹配的所述第一目标字段所对应的所述安全漏洞,作为从所述软件项目中扫描出的安全漏洞;
报告生成模块,用于至少利用从所述软件项目中扫描出的安全漏洞的漏洞详情信息,生成所述软件项目的扫描报告。
优选的,漏洞详情信息中至少包括危险级别和漏洞编号;所述统计详情信息至少包括:从各个所述软件项目中扫描出的安全漏洞的危险级别的级别分布,从各个所述软件项目中扫描出的安全漏洞的漏洞编号的编号分布,以及每个扫描出的安全漏洞所涉及的所述软件项目。
优选的,漏洞详情信息中至少包括危险级别;所述装置还包括:
预警单元,用于若从所述软件项目中扫描出的安全漏洞的危险级别高于预设级别,以预设方式发送告警信息。
优选的,所述输出单元具体用于:在可视化页面中,展示所述安全漏洞列表、所述安全漏洞列表中各个所述安全漏洞的漏洞详情信息、所述扫描报告和所述统计详情信息中的任意一项或组合。
基于上述本发明实施例提供的一种安全漏洞的处理方法及装置,该方法为:获取安全漏洞列表;基于安全漏洞列表中各个安全漏洞的漏洞详情信息,对软件项目的配置文件进行扫描得到相应的扫描报告;对所有软件项目的扫描报告进行统计,得到统计详情信息;输出安全漏洞列表、安全漏洞列表中各个安全漏洞的漏洞详情信息、扫描报告和统计详情信息中的任意一项或组合。本方案中,从指定通用漏洞数据库中获取安全漏洞列表。通过安全漏洞列表对软件项目的配置文件进行扫描,得到包含扫描出的安全漏洞的漏洞详情信息的扫描报告,以降低项目上线后的安全风险。对所有软件项目的扫描报告进行统计得到统计详情信息,并输出安全漏洞列表、安全漏洞列表中各个安全漏洞的漏洞详情信息、扫描报告和统计详情信息中的任意一项或组合,使安全人员可以全面了解关于安全漏洞的整体情况,进一步降低项目上线后的安全风险。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种安全漏洞的处理方法的流程图;
图2为本发明实施例提供的一种安全漏洞的处理方法的原理图;
图3为本发明实施例提供的一种安全漏洞的处理装置的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本申请中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
由背景技术可知,为保证企业服务的正常运行和为保证用户使用体验,需要对上线前的项目进行扫描以寻找安全漏洞并对其进行处理,降低上线后的安全风险。
因此,本发明实施例提供一种安全漏洞的处理方法及装置,从指定通用漏洞数据库中获取安全漏洞列表。通过安全漏洞列表对软件项目的配置文件进行扫描,得到包含扫描出的安全漏洞的漏洞详情信息的扫描报告,以降低项目上线后的安全风险。对所有软件项目的扫描报告进行统计得到统计详情信息,并输出安全漏洞列表、安全漏洞列表中各个安全漏洞的漏洞详情信息、扫描报告和统计详情信息中的任意一项或组合,使安全人员可以全面了解关于安全漏洞的整体情况,进一步降低项目上线后的安全风险。
参见图1,示出了本发明实施例提供的一种安全漏洞的处理方法的流程图,该处理方法包括:
步骤S101:获取安全漏洞列表。
需要说明的是,安全漏洞列表包含从指定通用漏洞数据库中获取的安全漏洞,每个安全漏洞存在相应的漏洞详情信息。可以理解的是,安全漏洞列表由多个安全漏洞组成,该安全漏洞列表中至少显示有各个安全漏洞的漏洞编号、漏洞名称和发布日期等信息;安全漏洞的漏洞详情信息包括但不仅限于:漏洞编号、漏洞名称、发布日期、供应商、漏洞类型、软件包名称(指示安全漏洞影响了哪个软件包)、版本(指示安全漏洞影响了哪个版本)、漏洞描述、危险级别和参考信息等。
进一步需要说明的是,指定通用漏洞数据库可以是NVD(National VulnerabilityDatabase),安全漏洞列表可以是公共漏洞和暴露(Common Vulnerabilities andExposures,CVE)列表。在安全漏洞列表为CVE列表时,上述提及的漏洞编号可以是CVE编号。
在具体实现步骤S101的过程中,从指定通用漏洞数据库中获取安全漏洞列表,以及获取该安全漏洞列表中各个安全漏洞的漏洞详情信息。例如:从NVD官网中获取CVE列表(也就是安全漏洞列表),以及获取CVE列表中各个CVE漏洞(也就是安全漏洞)的漏洞详情信息。
可以理解的是,所获取的安全漏洞列表中,包含了从指定通用漏洞数据库中获取的历史安全漏洞和新的安全漏洞。由于指定通用漏洞数据库中的数据会发生更新(如增加新的安全漏洞和对历史安全漏洞进行更新等),因此需要实时(或者按照预设周期)更新该安全漏洞列表,以保证安全漏洞列表中所包含的安全漏洞的全面性和实时性。
优选的,在获取得到安全漏洞列表之后,可先输出该安全漏洞列表和安全漏洞列表中各个安全漏洞的漏洞详情信息,使安全人员通过该安全漏洞列表实时了解安全漏洞的现况;例如:在可视化页面展示安全漏洞列表,以及展示安全漏洞列表中各个安全漏洞的软件包名称和危险级别。
步骤S102:基于安全漏洞列表中各个安全漏洞的漏洞详情信息,对软件项目的配置文件进行扫描得到相应的扫描报告。
在具体实现步骤S102的过程中,基于安全漏洞列表中各个安全漏洞的漏洞详情信息,对软件项目的配置文件进行扫描得到相应的扫描报告,该扫描包括至少包含:从软件项目中扫描出的安全漏洞的漏洞详情信息。可通过该扫描报告查看从软件项目中扫描出的安全漏洞。
具体而言,基于安全漏洞列表中各个安全漏洞的漏洞详情信息中的第一目标字段,对软件项目的配置文件中的第二目标字段进行匹配;将与第二目标字段相匹配的第一目标字段所对应的安全漏洞,作为从该软件项目中扫描出的安全漏洞;至少利用从该软件项目中扫描出的安全漏洞的漏洞详情信息,生成该软件项目的扫描报告。
可以理解的是,第一目标字段可以是软件包名称和版本,第二目标字段可以是依赖包名称和版本;也就是说,对于某一安全漏洞和某一软件项目,若该安全漏洞的漏洞详情信息中的软件包名称和版本与该软件项目的配置文件中的依赖包名称和版本相匹配,则将该安全漏洞作为从该软件项目中扫描出的安全漏洞。通过前述方式,确定从该软件项目中扫描出的各个安全漏洞。
一些具体实施例中,安全漏洞的漏洞详情信息中的第一目标字段(如软件包名称和版本)可以使用通用枚举平台(Common Platform Enumeration,CPE)描述,如描述安全漏洞影响了哪个版本。
需要说明的是,基于安全漏洞列表中各个安全漏洞的漏洞详情信息,对每一个软件项目都进行扫描,每个软件项目都可以生成一个相应的扫描报告。软件项目的扫描报告,可指示该软件项目中存在哪些安全漏洞以及所存在的安全漏洞的漏洞详情信息。
一些具体实施例中,软件项目可以是java项目(仅举例);在软件项目为java项目的情况下,软件项目的配置文件可以是pom.xml文件。也就是说,通过基于安全漏洞列表中各个安全漏洞的漏洞详情信息,对java项目的pom.xml文件进行已知安全漏洞(此时可认为是组件漏洞)的扫描,可得到相应的扫描报告;该扫描报告可指示该java项目所使用的依赖包中哪些依赖包是存在安全漏洞的。
在软件项目为java项目的情况下,扫描报告中包括但不仅限于:软件包名称(扫描出的安全漏洞影响了哪个软件包)、版本(扫描出的安全漏洞影响了哪个版本)、pom文件链接信息和其它的漏洞详情信息等。其中,pom文件链接信息为pom.xml文件在gitlab的网页链接地址。
由上述内容可知,安全漏洞的漏洞详情信息中至少包括了危险级别;优选的,在对软件项目的配置文件进行扫描得到相应的扫描报告之后,若从软件项目中扫描出的安全漏洞的危险级别高于预设级别,以预设方式发送告警信息,该告警信息中至少包括:危险级别高于预设级别的安全漏洞的依赖包名称,软件项目的gitlab地址,危险级别高于预设级别的安全漏洞所影响的版本,危险级别高于预设级别的安全漏洞的漏洞编号和描述信息,危险级别高于预设级别的安全漏洞的漏洞详情信息的网页地址,引入危险级别高于预设级别的安全漏洞的pom.xml文件在gitlab的网页链接地址等信息。
例如:假设安全漏洞的危险级别分别划分为:高危级别(漏洞评分大于7分)、中危级别(漏洞评分在4分至7分之间)和低危级别(漏洞评分小于4分);对于某一软件项目,若从该软件项目中扫描出危险级别为高危级别的安全漏洞,则通过邮件的方式,将告警信息发送给该软件项目的负责人。
步骤S103:对所有软件项目的扫描报告进行统计,得到统计详情信息。
由上述内容可知,对每一个软件项目都进行扫描,每个软件项目都可以生成一个相应的扫描报告;在具体实现步骤S103的过程中,对所有软件项目的扫描报告进行分析和统计,得到统计详情信息,该统计详情信息包括但不仅限于:从各个软件项目中扫描出的安全漏洞的危险级别的级别分布,从各个软件项目中扫描出的安全漏洞的漏洞编号的编号分布(例如CVE编号分布),以及每个扫描出的安全漏洞所涉及的软件项目。
需要说明的是,对于某一扫描出的安全漏洞,该安全漏洞所涉及的软件项目具体可指示:哪些软件项目中存在该安全漏洞。
在一些具体实施例中,在统计详情信息中,可分别按危险级别和漏洞编号来统计各个扫描出的安全漏洞所涉及的软件项目;例如:分别统计高危级别、中危级别和低危级别的安全漏洞涉及了多少个软件项目,以及分别统计高危级别、中危级别和低危级别的安全漏洞在哪些软件项目中存在,以及分别统计每个漏洞编号(也就是每个安全漏洞)涉及了多少个软件项目和在哪些软件项目中存在;通过前述所统计的信息,可了解所有软件项目中所存在的安全漏洞的情况,以及可按照软件项目中存在的安全漏洞的危险等级或个数来进行漏洞修复。
步骤S104:输出安全漏洞列表、安全漏洞列表中各个安全漏洞的漏洞详情信息、扫描报告和统计详情信息中的任意一项或组合。
在具体实现步骤S104的过程中,在可视化页面中,展示安全漏洞列表、安全漏洞列表中各个安全漏洞的漏洞详情信息、扫描报告和统计详情信息中的任意一项或组合。例如:在web页面,展示安全漏洞列表、统计详情信息和安全漏洞列表中各个安全漏洞的漏洞详情信息,以及展示各个软件项目的扫描报告。
一些具体实施例中,在展示各个软件项目的扫描报告时,安全人员可查阅某一软件项目的扫描报告的报告详情,该报告详情可指示:软件项目的哪些依赖包和哪个版本中存在安全漏洞,以及存在安全漏洞的依赖包是在哪个配置文件中引入的。
一些具体实施例中,在展示统计详情信息时,安全人员可查阅每个扫描出的安全漏洞所涉及的软件项目,从而获悉各个软件项目中存在哪些安全漏洞,或者说可获悉某一安全漏洞存在哪些软件项目中。总而言之,安全人员通过查阅统计详情信息,可获悉扫描出的安全漏洞的级别分布、编号分布和所涉及的软件项目,进而掌握所有软件项目中的安全漏洞的整体情况。
优选的,可定期执行上述步骤S101至步骤S104的内容,即定期扫描各个软件项目中的安全漏洞,从而可以及时掌握所有软件项目中的安全漏洞的整体情况。
在本发明实施例中,通过安全漏洞列表扫描出软件项目中的安全漏洞,以降低项目上线后的安全风险。并输出安全漏洞列表、安全漏洞列表中各个安全漏洞的漏洞详情信息、扫描报告和统计详情信息中的任意一项或组合,使安全人员可以全面了解关于安全漏洞的整体情况,进一步降低项目上线后的安全风险。
为更好解释说明上述安全漏洞的处理方法的相关内容,通过图2示出的一种安全漏洞的处理方法的原理图进行举例说明。
请参照图2,一种安全漏洞的处理方法的原理主要划分为4个部分,分别为:漏洞维护部分100、漏洞扫描部分200、展示部分300和统计部分400。
其中,漏洞维护部分100主要为获取安全漏洞列表的相关内容。
漏洞扫描部分200主要为利用安全漏洞列表对软件项目的配置文件进行扫描的相关内容,每个软件项目都生成相应的扫描报告。
统计部分400主要为对所有软件项目的扫描报告进行统计的相关内容。
展示部分300主要为展示安全漏洞列表、漏洞详情信息、扫描报告和统计详情信息的相关内容。
以上内容是对一种安全漏洞的处理方法的原理的说明,上述提及的各个部分的具体执行内容,可参见上述本发明实施例图1中的内容,在此不再赘述。
与上述本发明实施例提供的一种安全漏洞的处理方法相对应,参见图3,本发明实施例还提供了一种安全漏洞的处理装置的结构框图,该处理装置包括:获取单元301、扫描单元302、统计单元303和输出单元304;
获取单元301,用于获取安全漏洞列表,安全漏洞列表中包含从指定通用漏洞数据库中获取的安全漏洞,每个安全漏洞存在相应的漏洞详情信息。
扫描单元302,用于基于安全漏洞列表中各个安全漏洞的漏洞详情信息,对软件项目的配置文件进行扫描得到相应的扫描报告,扫描报告中至少包含:从软件项目中扫描出的安全漏洞的漏洞详情信息。
统计单元303,用于对所有软件项目的扫描报告进行统计,得到统计详情信息。
在一些实施例中,漏洞详情信息中至少包括危险级别和漏洞编号;统计详情信息至少包括:从各个软件项目中扫描出的安全漏洞的危险级别的级别分布,从各个软件项目中扫描出的安全漏洞的漏洞编号的编号分布,以及每个扫描出的安全漏洞所涉及的软件项目。
输出单元304,用于输出安全漏洞列表、安全漏洞列表中各个安全漏洞的漏洞详情信息、扫描报告和统计详情信息中的任意一项或组合。
在具体实现中,输出单元304具体用于:在可视化页面中,展示安全漏洞列表、安全漏洞列表中各个安全漏洞的漏洞详情信息、扫描报告和统计详情信息中的任意一项或组合。
在本发明实施例中,通过安全漏洞列表扫描出软件项目中的安全漏洞,以降低项目上线后的安全风险。并输出安全漏洞列表、安全漏洞列表中各个安全漏洞的漏洞详情信息、扫描报告和统计详情信息中的任意一项或组合,使安全人员可以全面了解关于安全漏洞的整体情况,进一步降低项目上线后的安全风险。
优选的,结合图3示出的内容,扫描单元302包括:
匹配模块,用于基于安全漏洞列表中各个安全漏洞的漏洞详情信息中的第一目标字段,对软件项目的配置文件中的第二目标字段进行匹配;将与第二目标字段相匹配的第一目标字段所对应的所述安全漏洞,作为从软件项目中扫描出的安全漏洞。
报告生成模块,用于至少利用从软件项目中扫描出的安全漏洞的漏洞详情信息,生成软件项目的扫描报告。
优选的,结合图3示出的内容,漏洞详情信息中至少包括危险级别;该处理装置还包括:
预警单元,用于若从软件项目中扫描出的安全漏洞的危险级别高于预设级别,以预设方式发送告警信息。
综上所述,本发明实施例提供一种安全漏洞的处理方法及装置,从指定通用漏洞数据库中获取安全漏洞列表。通过安全漏洞列表对软件项目的配置文件进行扫描,得到包含扫描出的安全漏洞的漏洞详情信息的扫描报告,以降低项目上线后的安全风险。对所有软件项目的扫描报告进行统计得到统计详情信息,并输出安全漏洞列表、安全漏洞列表中各个安全漏洞的漏洞详情信息、扫描报告和统计详情信息中的任意一项或组合,使安全人员可以全面了解关于安全漏洞的整体情况,进一步降低项目上线后的安全风险。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种安全漏洞的处理方法,其特征在于,所述方法包括:
获取安全漏洞列表,所述安全漏洞列表中包含从指定通用漏洞数据库中获取的安全漏洞,每个所述安全漏洞存在相应的漏洞详情信息;
基于所述安全漏洞列表中各个所述安全漏洞的漏洞详情信息,对软件项目的配置文件进行扫描得到相应的扫描报告,所述扫描报告中至少包含:从所述软件项目中扫描出的安全漏洞的漏洞详情信息;
对所有所述软件项目的扫描报告进行统计,得到统计详情信息;
输出所述安全漏洞列表、所述安全漏洞列表中各个所述安全漏洞的漏洞详情信息、所述扫描报告和所述统计详情信息中的任意一项或组合。
2.根据权利要求1所述的方法,其特征在于,基于所述安全漏洞列表中各个所述安全漏洞的漏洞详情信息,对软件项目的配置文件进行扫描得到相应的扫描报告,包括:
基于所述安全漏洞列表中各个所述安全漏洞的漏洞详情信息中的第一目标字段,对软件项目的配置文件中的第二目标字段进行匹配;将与所述第二目标字段相匹配的所述第一目标字段所对应的所述安全漏洞,作为从所述软件项目中扫描出的安全漏洞;
至少利用从所述软件项目中扫描出的安全漏洞的漏洞详情信息,生成所述软件项目的扫描报告。
3.根据权利要求1所述的方法,其特征在于,漏洞详情信息中至少包括危险级别和漏洞编号;所述统计详情信息至少包括:从各个所述软件项目中扫描出的安全漏洞的危险级别的级别分布,从各个所述软件项目中扫描出的安全漏洞的漏洞编号的编号分布,以及每个扫描出的安全漏洞所涉及的所述软件项目。
4.根据权利要求1所述的方法,其特征在于,漏洞详情信息中至少包括危险级别;
对软件项目的配置文件进行扫描得到相应的扫描报告之后,所述方法还包括:
若从所述软件项目中扫描出的安全漏洞的危险级别高于预设级别,以预设方式发送告警信息。
5.根据权利要求1所述的方法,其特征在于,输出所述安全漏洞列表、所述安全漏洞列表中各个所述安全漏洞的漏洞详情信息、所述扫描报告和所述统计详情信息中的任意一项或组合,包括:
在可视化页面中,展示所述安全漏洞列表、所述安全漏洞列表中各个所述安全漏洞的漏洞详情信息、所述扫描报告和所述统计详情信息中的任意一项或组合。
6.一种安全漏洞的处理装置,其特征在于,所述装置包括:
获取单元,用于获取安全漏洞列表,所述安全漏洞列表中包含从指定通用漏洞数据库中获取的安全漏洞,每个所述安全漏洞存在相应的漏洞详情信息;
扫描单元,用于基于所述安全漏洞列表中各个所述安全漏洞的漏洞详情信息,对软件项目的配置文件进行扫描得到相应的扫描报告,所述扫描报告中至少包含:从所述软件项目中扫描出的安全漏洞的漏洞详情信息;
统计单元,用于对所有所述软件项目的扫描报告进行统计,得到统计详情信息;
输出单元,用于输出所述安全漏洞列表、所述安全漏洞列表中各个所述安全漏洞的漏洞详情信息、所述扫描报告和所述统计详情信息中的任意一项或组合。
7.根据权利要求6所述的装置,其特征在于,所述扫描单元包括:
匹配模块,用于基于所述安全漏洞列表中各个所述安全漏洞的漏洞详情信息中的第一目标字段,对软件项目的配置文件中的第二目标字段进行匹配;将与所述第二目标字段相匹配的所述第一目标字段所对应的所述安全漏洞,作为从所述软件项目中扫描出的安全漏洞;
报告生成模块,用于至少利用从所述软件项目中扫描出的安全漏洞的漏洞详情信息,生成所述软件项目的扫描报告。
8.根据权利要求6所述的装置,其特征在于,漏洞详情信息中至少包括危险级别和漏洞编号;所述统计详情信息至少包括:从各个所述软件项目中扫描出的安全漏洞的危险级别的级别分布,从各个所述软件项目中扫描出的安全漏洞的漏洞编号的编号分布,以及每个扫描出的安全漏洞所涉及的所述软件项目。
9.根据权利要求6所述的装置,其特征在于,漏洞详情信息中至少包括危险级别;所述装置还包括:
预警单元,用于若从所述软件项目中扫描出的安全漏洞的危险级别高于预设级别,以预设方式发送告警信息。
10.根据权利要求6所述的装置,其特征在于,所述输出单元具体用于:在可视化页面中,展示所述安全漏洞列表、所述安全漏洞列表中各个所述安全漏洞的漏洞详情信息、所述扫描报告和所述统计详情信息中的任意一项或组合。
CN202210144173.5A 2022-02-17 2022-02-17 一种安全漏洞的处理方法及装置 Active CN114186236B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210144173.5A CN114186236B (zh) 2022-02-17 2022-02-17 一种安全漏洞的处理方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210144173.5A CN114186236B (zh) 2022-02-17 2022-02-17 一种安全漏洞的处理方法及装置

Publications (2)

Publication Number Publication Date
CN114186236A true CN114186236A (zh) 2022-03-15
CN114186236B CN114186236B (zh) 2022-05-27

Family

ID=80546124

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210144173.5A Active CN114186236B (zh) 2022-02-17 2022-02-17 一种安全漏洞的处理方法及装置

Country Status (1)

Country Link
CN (1) CN114186236B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120222122A1 (en) * 2011-02-24 2012-08-30 Kushal Das Mechanism for Generating Vulnerability Reports Based on Application Binary Interface/Application Programming Interface Usage
CN103955647A (zh) * 2014-05-12 2014-07-30 国家电网公司 一种系统漏洞扫描方法
CN104077531A (zh) * 2014-06-05 2014-10-01 中标软件有限公司 基于开放漏洞评估语言的系统漏洞评估方法、装置和系统
CN105635121A (zh) * 2015-12-23 2016-06-01 赛尔网络有限公司 一种基于厂商的漏洞严重等级分布统计方法、装置与系统
CN107609402A (zh) * 2017-09-05 2018-01-19 中国科学院计算机网络信息中心 一种安全漏洞的处理方法、装置及存储介质
CN112182588A (zh) * 2020-10-22 2021-01-05 中国人民解放军国防科技大学 基于威胁情报的操作系统漏洞分析检测方法及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120222122A1 (en) * 2011-02-24 2012-08-30 Kushal Das Mechanism for Generating Vulnerability Reports Based on Application Binary Interface/Application Programming Interface Usage
CN103955647A (zh) * 2014-05-12 2014-07-30 国家电网公司 一种系统漏洞扫描方法
CN104077531A (zh) * 2014-06-05 2014-10-01 中标软件有限公司 基于开放漏洞评估语言的系统漏洞评估方法、装置和系统
CN105635121A (zh) * 2015-12-23 2016-06-01 赛尔网络有限公司 一种基于厂商的漏洞严重等级分布统计方法、装置与系统
CN107609402A (zh) * 2017-09-05 2018-01-19 中国科学院计算机网络信息中心 一种安全漏洞的处理方法、装置及存储介质
CN112182588A (zh) * 2020-10-22 2021-01-05 中国人民解放军国防科技大学 基于威胁情报的操作系统漏洞分析检测方法及系统

Also Published As

Publication number Publication date
CN114186236B (zh) 2022-05-27

Similar Documents

Publication Publication Date Title
US11245718B2 (en) Method and system for tracking fraudulent activity
US11212316B2 (en) Control maturity assessment in security operations environments
US9521104B2 (en) Outgoing communications inventory
US9507936B2 (en) Systems, methods, apparatuses, and computer program products for forensic monitoring
US20130325545A1 (en) Assessing scenario-based risks
US20060010497A1 (en) System and method for providing remediation management
US20120185945A1 (en) System and method of managing network security risks
EP2899665A1 (en) Information processing device, information processing method, and program
CN101587494A (zh) 用于检查网站内的伪代码的系统及方法
CN106649055A (zh) 一种基于国产cpu和操作系统的软硬件故障告警系统及方法
CN110401660B (zh) 虚假流量的识别方法、装置、处理设备及存储介质
EP3671512B1 (en) Automated software vulnerability determination
US11861631B1 (en) Third party email parsing
CN114238058A (zh) 监控方法、装置、设备、介质和程序产品
US9665458B2 (en) Method and system for providing information from third party applications to devices
AU2011213552B2 (en) A method for notifying a sales person of a sales prospect
CN114186236B (zh) 一种安全漏洞的处理方法及装置
US20170251047A1 (en) Syslog advertisements
JP2020004006A (ja) 脆弱性管理装置、脆弱性管理方法及びプログラム
Phillips et al. Software Bills of Materials for IoT and OT devices
CN114499932A (zh) 一种钓鱼邮件测试服务支撑方法、系统及终端
US20060095520A1 (en) Method and apparatus for managing computer systmes in multiple remote devices
EP3345147A1 (en) Device integrity based assessment of a user action associated with an advertisement
CN114186235A (zh) 一种安全漏洞的处理方法及装置
US20110078574A1 (en) Systems and methods for the configuration and management of intelligent electronic devices

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant