CN115879862A - 一种制品安全管控方法、装置及存储介质 - Google Patents
一种制品安全管控方法、装置及存储介质 Download PDFInfo
- Publication number
- CN115879862A CN115879862A CN202310215163.0A CN202310215163A CN115879862A CN 115879862 A CN115879862 A CN 115879862A CN 202310215163 A CN202310215163 A CN 202310215163A CN 115879862 A CN115879862 A CN 115879862A
- Authority
- CN
- China
- Prior art keywords
- product
- vulnerability
- warehouse
- scanning
- scanning result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 238000012544 monitoring process Methods 0.000 claims abstract description 14
- 238000001514 detection method Methods 0.000 claims description 13
- 238000007726 management method Methods 0.000 description 35
- 238000013461 design Methods 0.000 description 20
- 238000004891 communication Methods 0.000 description 7
- 239000003795 chemical substances by application Substances 0.000 description 4
- 238000012827 research and development Methods 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000001105 regulatory effect Effects 0.000 description 3
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002035 prolonged effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001276 controlling effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012954 risk control Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Abstract
本发明公开了一种制品安全管控方法、装置及存储介质,可以保障制品仓库的安全,防止风险外溢以及节省制品漏洞修复时间和软件研发时间,该方法包括:监测到目标制品仓库新增第一制品时,对第一制品进行漏洞扫描,获得漏洞扫描结果;漏洞扫描结果包括有无漏洞信息,目标制品仓库为需要进行安全管控的任一个制品仓库;基于漏洞扫描结果确定第一制品存在漏洞时,将漏洞信息和第一制品对应的实例同时存储到目标制品仓库中;判断第一制品是否需要进行管控,并在确定第一制品需要进行管控时,禁用第一制品。
Description
技术领域
本发明涉及计算机技术领域,特别是涉及一种制品安全管控方法、装置及存储介质。
背景技术
目前国内软件研发行业企业在使用第三方组件的过程中,不知道它们中有的已产生过安全漏洞和知识产权风险。很多企业会使用非常老的组件和软件,其中很多爆发过安全漏洞,但没有及时去更新。对于这些已知漏洞的风险隐患,企业无法获悉,这种不可见性增加了危险系数。
为了解决上述问题,现有的做法通常是,在制品完成构建并存储到制品仓库后,使用漏洞测试工具获取制品并根据漏洞特征库检测制品漏洞,在检测出漏洞后将漏洞记录下来,给出修改建议后,再传递给研发人员,由研发人员修复漏洞后重新构建制品,直到未检测出漏洞。
然而,这种做法并不能从根源上对存在漏洞的开源组件进行管控,易造成后续构建的制品存在相同的漏洞,不能保障制品仓库的安全,以及会存在风险外溢的可能。且,在制品构建后检测漏洞并修复,修复漏洞后重新构建制品并再次检测漏洞,此过程会拉长漏洞修复时间与软件研发时间。
发明内容
基于此,本发明的目的在于提供一种制品安全管控方法、装置及存储介质,用于保障制品仓库的安全,防止风险外溢以及节省制品漏洞修复时间和软件研发时间。
第一方面,本发明提供了一种制品安全管控方法,包括:
监测到目标制品仓库新增第一制品时,对所述第一制品进行漏洞扫描,获得漏洞扫描结果;所述漏洞扫描结果包括有无漏洞信息,所述目标制品仓库为需要进行安全管控的任一个制品仓库;
基于所述漏洞扫描结果确定所述第一制品存在漏洞时,将所述漏洞信息和所述第一制品对应的实例同时存储到所述目标制品仓库中;
判断所述第一制品是否需要进行管控,并在确定所述第一制品需要进行管控时,禁用所述第一制品。
在一种可能的设计中,监测到目标制品仓库新增第一制品时,对所述第一制品进行漏洞扫描,获得漏洞扫描结果之前,所述方法还包括:
创建漏洞扫描方案,所述漏洞扫描方案包括不同仓库类型对应的扫描方案,任一种仓库类型对应的扫描方案用于监控同属所述任一种仓库类型的不同制品仓库,以及对所述不同制品仓库内新增的制品进行漏洞扫描;
设置质量规则门禁,所述质量规则门禁包括不同漏洞风险等级的管控指标,所述管控指标用于判断是否禁用相应的制品。
在一种可能的设计中,监测到目标制品仓库新增第一制品时,对所述第一制品进行漏洞扫描,获得漏洞扫描结果,包括:
监测所述目标制品仓库是否新增所述第一制品;
监测到所述目标制品仓库新增所述第一制品时,基于所述目标制品仓库的仓库类型对应的扫描方案,对所述第一制品进行漏洞扫描,获得所述漏洞扫描结果。
在一种可能的设计中,所述漏洞信息包括漏洞风险等级及其对应的漏洞数量;判断所述第一制品是否需要进行管控,并在确定所述第一制品需要进行管控时,禁用所述第一制品,包括:
通过比对所述漏洞信息中的所述漏洞数量和所述质量规则门禁中的所述漏洞风险等级对应的管控指标,判断所述第一制品是否需要进行管控;
当所述漏洞数量大于或者等于所述漏洞风险等级对应的管控指标时,确定所述第一制品需要进行管控,禁用所述第一制品。
在一种可能的设计中,将所述漏洞信息和所述第一制品对应的实例同时存储到所述目标制品仓库中,包括:
将所述漏洞信息以元数据的形式和所述第一制品对应的实例同时存储到所述目标制品仓库中。
在一种可能的设计中,基于所述漏洞扫描结果确定所述第一制品存在漏洞时,将所述漏洞信息和所述第一制品对应的实例同时存储到所述目标制品仓库中之前,所述方法还包括:
监测到目标制品仓库新增第一制品时,基于所述第一制品的MD5值,判断所述第一制品是否已存在漏洞扫描结果;
确定所述第一制品未存在漏洞扫描结果时,对所述第一制品进行漏洞扫描,获得漏洞扫描结果;或者,
确定所述第一制品存在漏洞扫描结果时,获取所述第一制品对应的漏洞扫描结果。
在一种可能的设计中,所述方法还包括:
通过扫描结果显示页面显示所述漏洞信息,所述漏洞信息包括存在漏洞的文件路径、CVE漏洞编号、漏洞介绍和相关资料链接;
以及,通过制品存储页面显示所述第一制品对应的安全管控状态,所述安全管控状态包括所述第一制品的质量规则状态以及所述第一制品的禁用状态、禁用原因,所述质量规则状态为通过漏洞检测状态或未通过漏洞检测状态。
第二方面,本发明还提供了一种制品安全管控装置,包括:
管控单元,用于监测到目标制品仓库新增第一制品时,对所述第一制品进行漏洞扫描,获得漏洞扫描结果;所述漏洞扫描结果包括有无漏洞信息,所述目标制品仓库为需要进行安全管控的任一个制品仓库;
存储单元,用于基于所述漏洞扫描结果确定所述第一制品存在漏洞时,将所述漏洞信息和所述第一制品对应的实例同时存储到所述目标制品仓库中;
所述管控单元,还用于判断所述第一制品是否需要进行管控,并在确定所述第一制品需要进行管控时,禁用所述第一制品。
在一种可能的设计中,所述管控单元还用于:
创建漏洞扫描方案,所述漏洞扫描方案包括不同仓库类型对应的扫描方案,任一种仓库类型对应的扫描方案用于监控同属所述任一种仓库类型的不同制品仓库,以及对所述不同制品仓库内新增的制品进行漏洞扫描;
设置质量规则门禁,所述质量规则门禁包括不同漏洞风险等级的管控指标,所述管控指标用于判断是否禁用相应的制品。
在一种可能的设计中,所述管控单元具体用于:
监测所述目标制品仓库是否新增所述第一制品;
监测到所述目标制品仓库新增所述第一制品时,基于所述目标制品仓库的仓库类型对应的扫描方案,对所述第一制品进行漏洞扫描,获得所述漏洞扫描结果。
在一种可能的设计中,所述漏洞信息包括漏洞风险等级及其对应的漏洞数量;所述管控单元具体用于:
通过比对所述漏洞信息中的所述漏洞数量和所述质量规则门禁中的所述漏洞风险等级对应的管控指标,判断所述第一制品是否需要进行管控;
当所述漏洞数量大于或者等于所述漏洞风险等级对应的管控指标时,确定所述第一制品需要进行管控,禁用所述第一制品。
在一种可能的设计中,所述存储单元具体用于:
将所述漏洞信息以元数据的形式和所述第一制品对应的实例同时存储到所述目标制品仓库中。
在一种可能的设计中,所述管控单元还用于:
监测到目标制品仓库新增第一制品时,基于所述第一制品的MD5值,判断所述第一制品是否已存在漏洞扫描结果;
确定所述第一制品未存在漏洞扫描结果时,对所述第一制品进行漏洞扫描,获得漏洞扫描结果;或者,
确定所述第一制品存在漏洞扫描结果时,获取所述第一制品对应的漏洞扫描结果。
在一种可能的设计中,所述管控单元还用于:
通过扫描结果显示页面显示所述漏洞信息,所述漏洞信息包括存在漏洞的文件路径、CVE漏洞编号、漏洞介绍和相关资料链接;
以及,通过制品存储页面显示所述第一制品对应的安全管控状态,所述安全管控状态包括所述第一制品的质量规则状态以及所述第一制品的禁用状态、禁用原因,所述质量规则状态为通过漏洞检测状态或未通过漏洞检测状态。
第三方面,本发明还提供了一种制品安全管控装置,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器用于存储一个或多个程序;
当所述一个或多个程序被所述至少一个处理器执行时,实现上述第一方面任一种可能设计所涉及的方法。
第四方面,本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有至少一个程序;当所述至少一个程序被处理器执行时,实现上述第一方面任一种可能设计所涉及的方法。
本发明的有益效果如下:
综上可知,相较于现有技术而言,本发明通过采用自动扫描制品组件仓库的形式替代扫描构建后的制品包,将安全检测前置,可以有效减少风险组件(即存在安全风险的制品)的使用,降低了漏洞产生的频率,减少了因溯源、修复制品漏洞重新构建并检测的时间,同时,本发明还可以针对风险组件及时扫描阻断,确保了拉取风险组件时,风险组件不会被使用,保障了制品仓库的安全,防止了风险外溢。
此外,本发明通过对相同组件采用跳过扫描快速阻断的方式,为制品的多次构建,节省了漏洞修复时间以及软件研发时间。
为了更好地理解和实施,下面结合附图详细说明本发明。
附图说明
图1为本发明提供的一种制品安全管控方法的流程示意图;
图2为本发明提供的另一种制品安全管控方法的流程示意图;
图3为本发明提供的又一种制品安全管控方法的流程示意图;
图4为本发明提供的一种扫描结果显示页面的示意图;
图5为本发明提供的一种制品安全管控装置的结构示意图;
图6为本发明提供的另一种制品安全管控装置的结构示意图。
具体实施方式
以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反,它们仅是与本发明的一些方面相一致的实施方式的例子。
在介绍本发明实施例之前,首先对本发明中的部分用语进行解释说明,以便于本领域技术人员理解。
在本发明使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本发明中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
除非有相反的说明,本发明提及的“第一”、“第二”等序数词用于对多个对象进行区分,不用于限定多个对象的顺序、时序、优先级或者重要程度。
本发明所提及的制品,是指由源码编译打包生成的二进制文件。其中,不同的开发语言对应着不同格式的二进制文件,这些二进制文件通常可以直接运行在服务器上,用以支撑应用运行。
请参考图1所示,本发明提供了一种制品安全管控方法,该方法可以包括如下步骤:
S11、监测到目标制品仓库新增第一制品时,对第一制品进行漏洞扫描,获得漏洞扫描结果。
在具体实施时,该漏洞扫描结果可以包括有无漏洞信息。目标制品仓库可以为需要进行安全管控的任一个制品仓库。其中,该漏洞信息可以包括但不限于:漏洞风险等级及其对应的漏洞数量。
作为一种示例,需要进行安全管控的任一个制品仓库可以是研发人员基于业务安全需求确定需要监控的制品仓库。
在一些实施例中,结合图1-2所示,执行步骤S11之前,还可以执行如下步骤:
S11a、创建漏洞扫描方案。
在具体实施时,该漏洞扫描方案可以包括但不限于:不同仓库类型对应的扫描方案。其中,任一种仓库类型对应的扫描方案用于监控同属该任一种仓库类型的不同制品仓库,以及对这些制品仓库内新增的制品进行漏洞扫描。换言之,目标制品仓库可以为当前需要进行漏洞扫描的仓库类型对应的多个制品仓库中的一个。
在具体实施时,由于不同软件代码的制品存储在不同仓库类型的制品仓库中,在步骤S11a中,在创建该漏洞扫描方案时,可以根据需要进行安全管控的任一个制品仓库的仓库类型,创建与其对应的扫描方案。例如,需要对Maven仓库类型的制品仓库进行安全管控时,换言之,需要对Maven仓库类型的制品仓库内的制品进行漏洞扫描时,可以创建Maven仓库类型对应的扫描方案,例如maven仓库漏洞扫描方案。在后续对制品进行安全管控的过程中,可以基于该扫描方案对属于Maven仓库类型的不同制品仓库中的制品进行漏洞扫描。
在具体实施时,可以设置漏洞扫描方案自动扫描,换言之,在确定对制品进行漏洞扫描时,默认启动漏洞扫描方案进行漏洞扫描。
在本发明中,通过创建漏洞扫描方案,可以设置安全管控制品仓库范围,以及可以有针对性地对该安全管控制品仓库范围中的各个制品仓库进行漏洞扫描,便于保障制品仓库的安全。
S11b、设置质量规则门禁。
在具体实施时,该质量规则门禁可以包括但不限于:不同漏洞风险等级的管控指标(也可以称为管控数量),其中,该管控指标用于判断是否禁用相应的制品。
作为一种示例,不同漏洞风险等级可以按照风险程度划分,例如,划分为危急漏洞、高级漏洞、中级漏洞和低级漏洞。
作为一种示例,在设置质量规则门禁时,可以根据业务安全风险把控需求,设置不同漏洞风险等级的管控指标。例如,可以设置危急漏洞的管控指标为1。当危险漏洞的数量小于1时,若在后续的漏洞扫描结果中,存在危险漏洞的数量等于1或者大于1的制品时,触发该质量规则门禁,用于禁用该制品。也可以理解为,触发质量规则门禁的制品将会被禁用。
在本发明中,通过设置质量规则门禁,可以在制品仓库新增制品的过程中,及时禁用触发质量规则门禁的制品,可以有效减少存在安全风险的制品的使用,降低了漏洞产生的频率,有助于保障制品仓库的安全。
需要说明的是,本发明对步骤S11a和步骤S11b之间的执行顺序不作限定,比如,可以同步执行步骤S11a和步骤S11b,或者,也可以先执行步骤S11a,后上述步骤S11b,或者,也可以先执行步骤S11b,后执行步骤S11a。
在具体实施时,在步骤S11中,第一制品可以理解为目标制品仓库新增的任一制品。其中,第一制品可以是上传到目标制品仓库中的制品,也可以是目标制品仓库通过仓库代理拉取的制品。这是因为拉取仓库代理制品会使得制品从代理源存储到目标制品仓库中,即上传制品、拉取仓库代理制品都会使得目标制品仓库新增制品。
在具体实施时,在步骤S11的执行过程中,可以检测目标制品是否新增第一制品,以便于在安全管控制品仓库范围内新增第一制品时,及时启动安全管控流程。比如,监测到目标制品仓库新增第一制品时,基于目标制品仓库的仓库类型对应的扫描方案,对第一制品进行漏洞扫描,获得漏洞扫描结果。
本发明中,通过监控目标制品仓库是否新增第一制品,以及在新增第一制品时,启动漏洞扫描,以便于及时确认第一制品是否存在漏洞,有助于保障制品仓库的安全,以及可以防止安全风险外溢。
S12、基于漏洞扫描结果确定第一制品存在漏洞时,将漏洞扫描结果中的漏洞信息和第一制品对应的实例同时存储到目标制品仓库中。
作为一种示例,该漏洞扫描结果无漏洞信息时,表示第一制品不存在漏洞,或者,该漏洞扫描信息有漏洞信息时,表示第一制品存在漏洞。
在具体实施时,基于漏洞扫描结果确定第一制品存在漏洞时,可以将漏洞扫描结果中的漏洞信息以元数据的形式和第一制品对应的实例同时存储到目标制品仓库中,以便于后续通过其它制品仓库再次拉取第一制品时,可以直接读取元数据内记录的第一制品对应的漏洞信息,并展示在漏洞扫描结果中。
S13、判断第一制品是否需要进行管控,并确定第一制品需要进行管控时,禁用第一制品。
在具体实施时,可以通过比对上述漏洞信息中的漏洞风险等级对应的漏洞数量和质量规则门禁中的该漏洞风险等级对应的管控指标,判断第一制品是否需要进行管控。当确定该漏洞数量大于或者等于该管控指标时,确定第一制品需要进行管控,禁用第一制品,换言之,当第一制品存在的漏洞触发质量规则门禁时会被禁用。
需要说明的是,步骤S13中的判断第一制品是否需要进行管控的执行,可以是与上述步骤S12同步进行,也可以是步骤S12之前或者之后进行,本发明对此不作限定。
在本发明中,通过在确定第一制品需要进行管控时,禁用第一制品,可以有效减少存在安全风险的制品的使用,降低了漏洞产生的频率,有助于保障制品仓库的安全,以及可以防止安全风险外溢。
在现有技术中,制品完成构建并存储到制品仓库后,检测制品漏洞并修复,修复漏洞后重新构建制品并再次检测漏洞,此过程会拉长漏洞修复时间与软件研发时间。
基于此,在本发明可适用的一种场景下,结合图1-3所示,在执行步骤S12之前,还可以包括如下步骤:
S11c、监测到目标制品仓库新增第一制品时,基于第一制品的MD5值,判断第一制品是否已存在漏洞扫描结果。确定第一制品未存在漏洞扫描结果时,执行步骤S11d,否则,执行步骤S11f。
所有制品存储时操作页面存在多个同样的文件,而实际文件数据根据MD5值存储唯一制品数据,例如,同一个制品上传到某个制品仓库内时,会根据MD5值校验制品的唯一性,当一个制品仓库内的制品被扫描并产生结果后,底层存储仅保存一份实例。
在具体实施时,为避免多次上传同样的制品,导致反复启用扫描器扫描漏洞造成扫描任务排队、扫描时间延长等问题,而出现拉长漏洞修复时间与软件研发时间的现象,在监测到目标制品仓库新增第一制品时,可以基于第一制品的MD5值,判断第一制品是否已存在漏洞扫描结果,再根据判断结果确定是否启动漏洞扫描,以便于及时确定是否有必要对第一制品进行漏洞扫描。
当确定第一制品未存在漏洞扫描结果时,说明需要对第一制品进行漏洞扫描,此时,可以执行步骤S11c。或者,当确定第一制品存在漏洞扫描结果时,说明无需对第一制品进行漏洞扫描,此时,可以执行步骤S11f。
S11c、对第一制品进行漏洞扫描,获得漏洞扫描结果。
在具体实施时,步骤S11c的实现过程与上述步骤S11的实现过程相同或者类似,在此不再赘述。
S11f、获取第一制品对应的漏洞扫描结果。
本发明中,通过执行步骤S11f,使得已扫描漏洞过的制品再次上传到目标制品仓库中或者被目标制品仓库拉取时将不再需要在被自动扫描时等待漏洞检测,可以直接获得漏洞扫描结果,即在MD5值相应的制品被重复上传或拉取时不再经过漏洞扫描,仅以已存在的漏洞扫描结果即可判断是否允许该制品被使用。也可以理解为,第一制品对应的扫描方案将通过第一制品的MD5值识别后确认是否可以被执行。
基于此,在本发明可适用的另一种场景下,结合图1-3所示,本发明提供的制品安全管控方法,还可以包括如下步骤:
S14、通过扫描结果显示页面显示上述漏洞扫描结果中的漏洞信息。
在具体实施时,该漏洞信息还可以包括但不限于:存在漏洞的文件路径、CVE漏洞编号、漏洞介绍和相关资料链接。
作为一种示例,该扫描结果显示页面可以如图4所示。
需要说明的是,步骤S14可以在步骤S12之后的任一时间执行,本发明对此不作限定。
本发明中,通过在扫描结果显示页面上显示漏洞信息,使得研发人员可以根据漏洞信息了解到漏洞的修复方法或替换方案,便于研发人员升级制品以解决漏洞。
S15、通过制品存储页面显示第一制品对应的安全管控状态。
在具体实施时,该安全管控状态可以包括但不限于第一制品的质量规则状态以及第一制品的禁用状态、禁用原因。其中,该质量规则状态可以为通过漏洞检测状态或未通过漏洞检测状态。
需要说明的是,步骤S15可以在步骤S13之后的任一时间执行,本发明对此不作限定。
本发明中,通过在制品存储页面显示第一制品对应的安全管控状态,可以方便研发人员快速查看生效的质量规则并查看到漏洞详情。
综上可知,相较于现有技术而言,本发明通过采用自动扫描制品组件仓库的形式替代扫描构建后的制品包,将安全检测前置,可以有效减少风险组件(即存在安全风险的制品)的使用,降低了漏洞产生的频率,减少了因溯源、修复制品漏洞重新构建并检测的时间,同时,本发明还可以针对风险组件及时扫描阻断,确保了拉取风险组件时,风险组件不会被使用,保障了制品仓库的安全,防止了风险外溢。
此外,本发明通过对相同组件采用跳过扫描快速阻断的方式,为制品的多次构建,节省了漏洞修复时间以及软件研发时间。
基于同一发明构思,本发明实施例还提供了一种制品安全管控装置,如图5所示,制品安全管控装置20可以包括:
管控单元21,用于监测到目标制品仓库新增第一制品时,对第一制品进行漏洞扫描,获得漏洞扫描结果;该漏洞扫描结果包括有无漏洞信息,该目标制品仓库为需要进行安全管控的任一个制品仓库;
存储单元22,用于基于该漏洞扫描结果确定第一制品存在漏洞时,将该漏洞信息和第一制品对应的实例同时存储到目标制品仓库中;
管控单元21,还用于判断第一制品是否需要进行管控,并在确定第一制品需要进行管控时,禁用第一制品。
在一种可能的设计中,管控单元21还用于:
创建漏洞扫描方案,该漏洞扫描方案包括不同仓库类型对应的扫描方案,任一种仓库类型对应的扫描方案用于监控同属任一种仓库类型的不同制品仓库,以及对不同制品仓库内新增的制品进行漏洞扫描;
设置质量规则门禁,该质量规则门禁包括不同漏洞风险等级的管控指标,该管控指标用于判断是否禁用相应的制品。
在一种可能的设计中,管控单元21具体用于:
监测目标制品仓库是否新增第一制品;
监测到目标制品仓库新增第一制品时,基于目标制品仓库的仓库类型对应的扫描方案,对第一制品进行漏洞扫描,获得漏洞扫描结果。
在一种可能的设计中,该漏洞信息包括漏洞风险等级及其对应的漏洞数量;管控单元21具体用于:
通过比对该漏洞信息中的漏洞数量和质量规则门禁中的漏洞风险等级对应的管控指标,判断第一制品是否需要进行管控;
当该漏洞数量大于或者等于该漏洞风险等级对应的管控指标时,确定第一制品需要进行管控,禁用第一制品。
在一种可能的设计中,存储单元22具体用于:
将该漏洞信息以元数据的形式和第一制品对应的实例同时存储到目标制品仓库中。
在一种可能的设计中,管控单元21还用于:
监测到目标制品仓库新增第一制品时,基于第一制品的MD5值,判断第一制品是否已存在漏洞扫描结果;
确定第一制品未存在漏洞扫描结果时,对第一制品进行漏洞扫描,获得漏洞扫描结果;或者,
确定第一制品存在漏洞扫描结果时,获取第一制品对应的漏洞扫描结果。
在一种可能的设计中,管控单元21还用于:
通过扫描结果显示页面显示漏洞信息,该漏洞信息包括存在漏洞的文件路径、CVE漏洞编号、漏洞介绍和相关资料链接;
以及,通过制品存储页面显示第一制品对应的安全管控状态,安全管控状态包括第一制品的质量规则状态以及第一制品的禁用状态、禁用原因,该质量规则状态为通过漏洞检测状态或未通过漏洞检测状态。
本发明实施例中的制品安全管控装置20与上述图1-3所示的制品安全管控方法是基于同一构思下的发明,通过前述对制品安全管控方法的详细描述,本领域技术人员可以清楚的了解本实施例中制品安全管控装置20的实施过程,所以为了说明书的简洁,在此不再赘述。
基于同一发明构思,本发明实施例还提供了一种制品安全管控装置,如图6所示,制品安全管控装置30可以包括:至少一个存储器31和至少一个处理器32。其中:
至少一个存储器31用于存储一个或多个程序。
当一个或多个程序被至少一个处理器32执行时,实现上述图1-3所示的制品安全管控方法。
制品安全管控装置30还可以可选地包括通信接口,通信接口用于与外部设备进行通信和数据交互传输。
需要说明的是,存储器31可能包含高速RAM存储器,也可能还包括非易失性存储器(nonvolatile memory),例如至少一个磁盘存储器。
在具体的实现过程中,如果存储器31、处理器32及通信接口集成在一块芯片上,则存储器31、处理器32及通信接口可以通过内部接口完成相互间的通信。如果存储器31、处理器32和通信接口独立实现,则存储器31、处理器32和通信接口可以通过总线相互连接并完成相互间的通信。
基于同一发明构思,本发明实施例还提供了一种计算机可读存储介质,该计算机可读存储介质可以存储有至少一个程序,当至少一个程序被处理器执行时,实现上述图1-3所示的制品安全管控方法。
应当理解,计算机可读存储介质为可存储数据或程序的任何数据存储设备,数据或程序其后可由计算机系统读取。计算机可读存储介质的示例包括:只读存储器、随机存取存储器、CD-ROM、HDD、DVD、磁带和光学数据存储设备等。
计算机可读存储介质还可分布在网络耦接的计算机系统中使得计算机可读代码以分布式方式来存储和执行。
计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、射频(Radio Frequency,RF)等,或者上述的任意合适的组合。
以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。
Claims (10)
1.一种制品安全管控方法,其特征在于,包括:
监测到目标制品仓库新增第一制品时,对所述第一制品进行漏洞扫描,获得漏洞扫描结果;所述漏洞扫描结果包括有无漏洞信息,所述目标制品仓库为需要进行安全管控的任一个制品仓库;
基于所述漏洞扫描结果确定所述第一制品存在漏洞时,将所述漏洞信息和所述第一制品对应的实例同时存储到所述目标制品仓库中;
判断所述第一制品是否需要进行管控,并在确定所述第一制品需要进行管控时,禁用所述第一制品。
2.如权利要求1所述的方法,其特征在于,监测到目标制品仓库新增第一制品时,对所述第一制品进行漏洞扫描,获得漏洞扫描结果之前,所述方法还包括:
创建漏洞扫描方案,所述漏洞扫描方案包括不同仓库类型对应的扫描方案,任一种仓库类型对应的扫描方案用于监控同属所述任一种仓库类型的不同制品仓库,以及对所述不同制品仓库内新增的制品进行漏洞扫描;
设置质量规则门禁,所述质量规则门禁包括不同漏洞风险等级的管控指标,所述管控指标用于判断是否禁用相应的制品。
3.如权利要求2所述的方法,其特征在于,监测到目标制品仓库新增第一制品时,对所述第一制品进行漏洞扫描,获得漏洞扫描结果,包括:
监测所述目标制品仓库是否新增所述第一制品;
监测到所述目标制品仓库新增所述第一制品时,基于所述目标制品仓库的仓库类型对应的扫描方案,对所述第一制品进行漏洞扫描,获得所述漏洞扫描结果。
4.如权利要求2所述的方法,其特征在于,所述漏洞信息包括漏洞风险等级及其对应的漏洞数量;判断所述第一制品是否需要进行管控,并在确定所述第一制品需要进行管控时,禁用所述第一制品,包括:
通过比对所述漏洞信息中的所述漏洞数量和所述质量规则门禁中的所述漏洞风险等级对应的管控指标,判断所述第一制品是否需要进行管控;
当所述漏洞数量大于或者等于所述漏洞风险等级对应的管控指标时,确定所述第一制品需要进行管控,禁用所述第一制品。
5.如权利要求1-4任一项所述的方法,其特征在于,将所述漏洞信息和所述第一制品对应的实例同时存储到所述目标制品仓库中,包括:
将所述漏洞信息以元数据的形式和所述第一制品对应的实例同时存储到所述目标制品仓库中。
6.如权利要求5所述的方法,其特征在于,基于所述漏洞扫描结果确定所述第一制品存在漏洞时,将所述漏洞信息和所述第一制品对应的实例同时存储到所述目标制品仓库中之前,所述方法还包括:
监测到目标制品仓库新增第一制品时,基于所述第一制品的MD5值,判断所述第一制品是否已存在漏洞扫描结果;
确定所述第一制品未存在漏洞扫描结果时,对所述第一制品进行漏洞扫描,获得漏洞扫描结果;或者,
确定所述第一制品存在漏洞扫描结果时,获取所述第一制品对应的漏洞扫描结果。
7.如权利要求1-4任一项所述的方法,其特征在于,所述方法还包括:
通过扫描结果显示页面显示所述漏洞信息,所述漏洞信息包括存在漏洞的文件路径、CVE漏洞编号、漏洞介绍和相关资料链接;
以及,通过制品存储页面显示所述第一制品对应的安全管控状态,所述安全管控状态包括所述第一制品的质量规则状态以及所述第一制品的禁用状态、禁用原因,所述质量规则状态为通过漏洞检测状态或未通过漏洞检测状态。
8.一种制品安全管控装置,其特征在于,包括:
管控单元,用于监测到目标制品仓库新增第一制品时,对所述第一制品进行漏洞扫描,获得漏洞扫描结果;所述漏洞扫描结果包括有无漏洞信息,所述目标制品仓库为需要进行安全管控的任一个制品仓库;
存储单元,用于基于所述漏洞扫描结果确定所述第一制品存在漏洞时,将所述漏洞信息和所述第一制品对应的实例同时存储到所述目标制品仓库中;
所述管控单元,还用于判断所述第一制品是否需要进行管控,并在确定所述第一制品需要进行管控时,禁用所述第一制品。
9.一种制品安全管控装置,其特征在于,包括:至少一个存储器和至少一个处理器;
所述至少一个存储器用于存储一个或多个程序;
当所述一个或多个程序被所述至少一个处理器执行时,实现如权利要求1-7任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有至少一个程序;当所述至少一个程序被处理器执行时,实现如权利要求1-7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310215163.0A CN115879862A (zh) | 2023-03-08 | 2023-03-08 | 一种制品安全管控方法、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310215163.0A CN115879862A (zh) | 2023-03-08 | 2023-03-08 | 一种制品安全管控方法、装置及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115879862A true CN115879862A (zh) | 2023-03-31 |
Family
ID=85762032
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310215163.0A Pending CN115879862A (zh) | 2023-03-08 | 2023-03-08 | 一种制品安全管控方法、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115879862A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108369622A (zh) * | 2015-12-18 | 2018-08-03 | 亚马逊技术股份有限公司 | 软件容器注册表服务 |
| CN110110527A (zh) * | 2019-05-10 | 2019-08-09 | 重庆八戒电子商务有限公司 | 一种漏洞组件的发现方法、发现装置、计算机装置以及存储介质 |
| CN111859392A (zh) * | 2020-07-14 | 2020-10-30 | 苏州浪潮智能科技有限公司 | 一种镜像管控方法、装置、设备及存储介质 |
| CN115688113A (zh) * | 2022-10-19 | 2023-02-03 | 北京奇艺世纪科技有限公司 | 基于静态扫描的漏洞检测方法、装置、设备及存储介质 |
-
2023
- 2023-03-08 CN CN202310215163.0A patent/CN115879862A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108369622A (zh) * | 2015-12-18 | 2018-08-03 | 亚马逊技术股份有限公司 | 软件容器注册表服务 |
| CN110110527A (zh) * | 2019-05-10 | 2019-08-09 | 重庆八戒电子商务有限公司 | 一种漏洞组件的发现方法、发现装置、计算机装置以及存储介质 |
| CN111859392A (zh) * | 2020-07-14 | 2020-10-30 | 苏州浪潮智能科技有限公司 | 一种镜像管控方法、装置、设备及存储介质 |
| CN115688113A (zh) * | 2022-10-19 | 2023-02-03 | 北京奇艺世纪科技有限公司 | 基于静态扫描的漏洞检测方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10296437B2 (en) | Framework for efficient security coverage of mobile software applications | |
| US10181029B1 (en) | Security cloud service framework for hardening in the field code of mobile software applications | |
| CN102799817B (zh) | 用于使用虚拟化技术进行恶意软件保护的系统和方法 | |
| US9159035B1 (en) | Framework for computer application analysis of sensitive information tracking | |
| US9009823B1 (en) | Framework for efficient security coverage of mobile software applications installed on mobile devices | |
| US9367681B1 (en) | Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application | |
| US11455400B2 (en) | Method, system, and storage medium for security of software components | |
| CN103001947B (zh) | 一种程序处理方法和系统 | |
| NO336813B1 (no) | Fremgangsmåte og system for å håndheve et sett av sikkerhetsregler ved hjelp av en sikkerhetspåtvingende virtuell maskin | |
| US11501022B2 (en) | Application security policy management agent | |
| CN101379479A (zh) | 具有对于对象的受控访问的软件系统 | |
| CN102981874B (zh) | 计算机处理系统和注册表重定向方法 | |
| US20160246590A1 (en) | Priority Status of Security Patches to RASP-Secured Applications | |
| CN104572197B (zh) | 一种启动项的处理方法和装置 | |
| CN106650435A (zh) | 一种保护系统安全的方法及装置 | |
| US11868465B2 (en) | Binary image stack cookie protection | |
| Cox | Surviving Software Dependencies: Software reuse is finally here but comes with risks. | |
| CN115879862A (zh) | 一种制品安全管控方法、装置及存储介质 | |
| US20200045018A1 (en) | Listen mode for machine whitelisting mechanisms | |
| US9619306B2 (en) | Information processing device, control method thereof, and recording medium | |
| CN115080966B (zh) | 动态白名单驱动方法及系统 | |
| KR101044651B1 (ko) | 파일 보안 시스템 및 그 제공방법 | |
| US20230034567A1 (en) | Generating and debugging bytecode for a rule | |
| US20230367564A1 (en) | Rules processing systems and methods with just-in-time compilation for endpoint protection in kernel mode | |
| CN108183920A (zh) | 一种工业控制系统恶意代码防御系统及其防御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20230331 |
|
| RJ01 | Rejection of invention patent application after publication |