CN117272310A - 一种组件和漏洞可达性分析方法、装置、设备及存储介质 - Google Patents
一种组件和漏洞可达性分析方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN117272310A CN117272310A CN202311062235.9A CN202311062235A CN117272310A CN 117272310 A CN117272310 A CN 117272310A CN 202311062235 A CN202311062235 A CN 202311062235A CN 117272310 A CN117272310 A CN 117272310A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- function
- component
- analysis
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 75
- 238000000034 method Methods 0.000 claims abstract description 22
- 239000012634 fragment Substances 0.000 claims abstract description 9
- 230000006870 function Effects 0.000 claims description 243
- 238000012038 vulnerability analysis Methods 0.000 claims description 51
- 238000000605 extraction Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 9
- 230000008439 repair process Effects 0.000 description 17
- 238000004891 communication Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000013473 artificial intelligence Methods 0.000 description 3
- 239000003607 modifier Substances 0.000 description 3
- 238000001514 detection method Methods 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 229940060321 after-bug Drugs 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/40—Transformation of program code
- G06F8/41—Compilation
- G06F8/42—Syntactic analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/40—Transformation of program code
- G06F8/41—Compilation
- G06F8/42—Syntactic analysis
- G06F8/427—Parsing
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Stored Programmes (AREA)
Abstract
本发明涉及网络安全技术领域,揭露了一种组件和漏洞可达性分析方法,装置、设备以及存储介质,该方法包括:获取开源组件源码,从源码中提取函数信息,再对函数信息进行关系解析,得到函数调用关系链;根据CVE等漏洞信息库披露的漏洞信息和漏洞代码片段,对开源组件源码进行漏洞标记,得到漏洞函数;获取待检测组件的源码,通过软件成分分析,获取当前待检测源码的开源组件信息,通过源码函数提取,得到函数信息以及依赖关系;根据待检测源码提取的信息和开源组件提取的信息,通过对比计算,得出当前待检测源码中的组件可达性和漏洞可达性数据。本发明可以通过待检测源码中的组件进行漏洞标记,可以覆盖多种函数漏洞,增强了漏洞分析的准确性。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种组件和漏洞可达性分析方法、装置、设备及存储介质。
背景技术
软件成分分析的主要目的是漏洞修复,分析的主要流程可以表现为利用包管理器特征或者源码特性或者其他手段进行识别、分析和追踪的技术,得出当前软件的开源组件及其构成和依赖关系,并识别已知安全漏洞或者潜在的许可授权问题,然后针对分析出来的开源组件信息,再结合使用组件的指纹和CVE漏洞信息库数据,生成漏洞修复的建议,可以消除软件潜在危险,从而将这些风险漏洞排查在应用系统投产前。
但是现市场上很多软件成分析软件缺乏或者比较笼统的给出漏洞的修复建议,识别出漏洞组件信息后有些组件的修复并不容易,这些建议并不能简单有效的解决漏洞问题。例如,有些组件的修复会带来其他组件的不兼容需要同时升级其他组件才可以完成漏洞修复;有些组件的漏洞开源组件并未及时提供解决方法导致修复失败。其实并不是全部有漏洞的组件都需要去修复的,例如,有些使用了有漏洞的开源组件,但是并没有使用当前组件中的漏洞函数,所以当前漏洞对应软件来说并非可利用的,根本无需修复,但是在实际操作过程中却重复修复,降低了漏洞修复的效率。综上所述,现有技术存在软件成分漏洞分析的效率及准确性较低的问题。
发明内容
本发明提供一种组件和漏洞可达性分析方法、装置、设备及存储介质,其主要目的在于解决现有技术存在软件成分漏洞分析的效率及准确性较低的问题。
为实现上述目的,本发明提供的一种组件和漏洞可达性分析方法,包括:获取开源组件源码,对开源组件源码进行函数提取,得到函数信息;对函数信息进行关系解析,得到函数调用关系链;对开源组件源码进行漏洞标记,得到漏洞函数;获取待检测组件的源码,根据漏洞函数以及函数调用关系链对待检测组件的源码进行漏洞分析,得到漏洞分析结果。
为了解决上述问题,本发明还提供一种组件和漏洞可达性分析装置,装置包括:函数提取模块,用于获取开源组件源码,对开源组件源码进行函数提取,得到函数信息;关系解析模块,用于对函数信息进行关系解析,得到函数调用关系链;漏洞标记模块,用于对开源组件源码进行漏洞标记,得到漏洞函数;漏洞分析模块,用于获取待检测组件的源码,根据漏洞函数以及函数调用关系链对待检测组件的源码进行漏洞分析,得到漏洞分析结果。
为了解决上述问题,本发明还提供一种电子设备,电子设备包括:至少一个处理器;以及,与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的计算机程序,计算机程序被至少一个处理器执行,以使至少一个处理器能够执行上述的组件和漏洞可达性分析方法。
为了解决上述问题,本发明还提供一种计算机可读存储介质,计算机可读存储介质中存储有至少一个计算机程序,至少一个计算机程序被电子设备中的处理器执行以实现上述的组件和漏洞可达性分析方法。
本发明通过对函数信息进行关系解析,得到函数调用关系链,不限制语言,适用于所有编程语言,只需了解各个语言的解析语法树,并解析函数之间的调用关系,可以让多个函数调用关系合并为一条完整关联路径,进行漏洞分析时逻辑性更强,准确性更高;对开源组件源码进行函数提取,得到函数信息,避免漏洞分析的局限性,将开源组件的函数信息规格化入库以及根据组件名称和版本可以提供快速查询方法,提高漏洞分析的效率;对开源组件源码进行漏洞标记,得到漏洞函数,可以覆盖多种函数漏洞,增强漏洞分析的准确性;根据函数调用关系链以及漏洞函数对源码进行漏洞分析,得到漏洞分析结果,可以识别当前软件中是否使用了开源组件,以及使用了开源组件的那些方法。因此本发明提出的组件和漏洞可达性分析方法、装置、设备及存储介质,可以解决软件成分漏洞分析的效率及准确性较低的问题。
附图说明
图1为本发明一实施例提供的组件和漏洞可达性分析方法的流程示意图;
图2为本发明一实施例提供的对函数信息进行关系解析,得到函数调用关系链的流程示意图;
图3为本发明一实施例提供的对开源组件源码进行漏洞标记,得到漏洞函数的流程示意图;
图4为本发明一实施例提供的组件和漏洞可达性分析装置的功能模块示意图;
图5为本发明一实施例提供的实现组件和漏洞可达性分析方法的电子设备的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
现有技术关于漏洞修复方面,很多软件成分析软件缺乏或者比较笼统的给出漏洞的修复建议,识别出漏洞组件信息后有些组件的修复并不容易,这些建议并不能简单有效的解决漏洞问题。有些组件的修复会带来其他组件的不兼容需要同时升级其他组件才可以完成漏洞修复;有些组件的漏洞开源组件并未及时提供解决方法导致修复失败;以及其他等等问题。在这些有漏洞的组件中并非都需要去修复的。有些使用了有漏洞的开源组件,但是并没有使用当前组件中的漏洞函数,所以当前漏洞对应软件来说并非可利用的,根本无需修复。有些使用了漏洞组件中的漏洞函数,可以只去对当前使用漏洞函数的源码进行修改,无需升级或者其他手段修复。从而大大减小了漏洞的修复难度和成本。
参照图1所示,为本发明一实施例提供的组件和漏洞可达性分析方法的流程示意图。在本实施例中,组件和漏洞可达性分析方法包括:
S1、获取开源组件源码,对开源组件源码进行函数提取,得到函数信息。
本发明实施例中,开源组件源码可以从函数信息对应的开源网站上下载所有开源组件的源码以及对应版本;利用函数调用关系链以及获取的组件工具对开源组件源码进行函数提取,将所有的源码中的函数提取出来,但是,进行函数提取的时候只提取开源组件源码的public修饰符的函数,因为非public修饰符的函数外部根本无法调用,无需进行解析和存储;开源组件是开放源代码,可以根据开源组件中的开放源代码对其进行查看和修改。
本发明实施例中,对开源组件源码进行函数提取,得到函数信息,包括:对开元组件源码进行函数分析,得到初始组件函数;将初始组件函数及初始组件函数的函数名称进行对应存储,得到函数信息。
本发明实施例中,函数分析首先是将开源组件源码中的函数信息筛选出来,得到初始组件函数,例如,存在alibaba.fastjson@2.0.10组件源码,可以从这个组件源码中分析出两个初始组件函数,分别表示为:com.alibaba.fastjson.JSONObject.parseObject(String)、com.alibaba.fastjson.JSON.parseObject(String),然后对分析得到的初始组件函数进行名称匹配,将开源组件源码对应的函数全限定名称与初始组件函数进行一一对应,得到初始组件函数信息,最后将得到的初始函数信息存储至预设的数据库中,得到函数信息。
本发明实施例中,由于开元组件源码是开放的,对开元组件源码进行操作可以避免操作局限性,同时开元组件源码的技术比较成熟,不容易出现技术漏洞,因此得到的开源组件源码更加准确;预先将开源组件的组件和函数关系解析出来后存入数据库中,需要的时候只需根据组件的名称和版本或者根据CVE数据即可查询到对应的函数列表,无需二次解析,大大节省了检测时间。
S2、对函数信息进行关系解析,得到函数调用关系链。
本发明实施例中,函数信息包含函数名称、入参类型、修饰符、函数所在的位置以及当前的函数代码片段等。
请参阅图2所示,本发明实施例中,对函数信息进行关系解析,得到函数调用关系链,包括:S21、根据预设的函数关系集查找函数信息的调用关系;S22、将函数信息中的调用关系进行路径关联,得到关系树;S23、对关系树进行关系整理,得到函数调用关系链。
本发明实施例中,函数关系集可以利用Java进行编写获得,根据Java源码定义Java类;例如,使用关键字class类名称,然后对定义好的类进行实例化对象,这样可以统一根据该类产生的对象的格式;当一个实例化对象产生之后,可以对其进行属性或者方法调用;调用关系可以为依赖关系(例如,局部变量、函数参数、返回值建立的对于其他对象的调用关系)、关联关系(例如,表示整体和部分关系的聚合、组合)、泛化关系(表示一般和特殊关系,描述特殊元素的对象可替换一般元素的对象)。
本发明实施例中,路径关联是将每个Java类中的函数调用关系通过全类名的全限定路径关联,其中,全类名是Java类中的某个文件在项目中的位置;全限定路径是指包含了函数的文件在操作系统中的位置路径或者Java类中网络共享路径的限定路径;关系树是由节点组成的有限集合,其中,节点可以通过圆圈表示,节点中包含数据信息,节点之间的连线表示数据信息之间的关系,可以通过直线相连;将函数信息中的函数的调用关系进行路径关联,得到关系树可以表示为:存在函数调用关系a->b,c,b->d,e,e->f,将其进行路径关联,得到关系树a->b->d->e>f->c;路径关联可以让多个函数调用关系合并为一条完整关联路径,经过路径关联后的函数之间的函数关系整体化,可以更加简单快速的得到多个函数信息之间的关系,
本发明一实际应用场景中,关系整理可以表示为:关系树为a->b->d->e>f->c,对其进行关系整理得到a->b->d,a->b->e->f,a->c;关系整理是对关系树表示的函数调用关系进行处理,采用函数调用关系链进行漏洞分析的逻辑性更强,准确性更高。
S3、对开源组件源码进行漏洞标记,得到漏洞函数。
请参阅图3所示,本发明实施例中,对开源组件源码进行漏洞标记,得到漏洞函数,包括:S31、从预设的漏洞库中查找漏洞函数片段;S32、将漏洞函数片段进行函数解析,得到函数信息;S33、根据函数信息对开源组件源码进行标记处理,得到漏洞函数。
本发明实施例中,漏洞库是现有的已经出现的各种函数漏洞数据,可以使用cve(Common Vulnerabilities&Exposures,通用漏洞和风险)安全漏洞库,在漏洞库中每一个函数漏洞都包含漏洞来源、攻击方式以及关于该漏洞的相关参考信息的链接汇总等,利用漏洞库可以覆盖更多的漏洞范围,同时能支持不同的系统之间基于cve编号进行函数信息交换,快速便捷。
本发明实施例中,函数解析是将包含函数漏洞片段的文件夹进行定位处理,得到漏洞分析需要的函数信息,可以采用字符串定位的方法,根据需要的函数信息中关键字符串在函数漏洞片段中进行查找,再通过交叉引用定位到漏洞函数片段中的相应位置,得到函数信息。
本发明实施例中,根据函数信息对开源组件源码进行标记处理,得到漏洞函数,包括:将函数信息与开源组件源码进行匹配,得到匹配函数;将匹配函数标记为漏洞函数,并对漏洞函数进行更新处理。
本发明实施例中,将函数信息与开源组件源码进行匹配可以采用match(lookup_value,lookup_array,match_type)函数,其中,lookup_value表示为必需参数,可以是数值、文本或者逻辑值,lookup_array表示为匹配范围,match_type表示为匹配方式,范围为{-1,0,1},例如,当match_type等于0时,匹配结果为精确匹配,则匹配结果中的函数即为匹配函数;当match_type等于1时,当match_type不等于0,则说明开源组件源码中不含有漏洞函数;对漏洞函数进行更新处理是将漏洞函数的相关信息(代码、函数名称等)进行规格化入库,这样在后续的漏洞分析时可以根据组件函数名称和版本信息进行快速查询。
S4、获取待检测组件的源码,根据漏洞函数以及函数调用关系链对待检测组件的源码进行漏洞分析,得到漏洞分析结果。
本发明实施例中,根据漏洞函数以及函数调用关系链对待检测组件的源码进行漏洞分析,得到漏洞分析结果,包括:根据函数调用关系链对源码进行函数解析,得到待检测函数调用链;根据漏洞函数检测待检测组件的源码中的漏洞信息;当漏洞信息为待检测组件中存在漏洞时,根据函数调用关系链对待检测组件进行可达性分析,得到漏洞分析结果。
本发明实施例中,可达性分析是分析待检测组件的路径位置是否能根据函数调用关系链直接到达,如果路径位置可以根据函数调用关系链直接到达,则说明待检测组件是可达的。
本发明实施例中,根据函数调用关系链对待检测组件进行可达性分析,得到漏洞分析结果,包括:根据函数调用关系链对待检测组件进行可达性判断;当待检测组件函数调用关系链指向待检测组件中函数时,则说明待检测组件是可达的,并将组件可达作为漏洞分析结果;当待检测组件中不存在函数调用关系链指向标记函数时,则说明待检测组件是漏洞可达的,并将漏洞组件可达作为漏洞分析结果。
本发明实施例中,函数调用关系链指向待检测组件中函数是表示可以根据函数调用关系链到达待检测组件中函数所在位置,待检测组件中不存在函数调用关系链指向标记函数表示为不可以根据函数调用关系链中到达待检测组件中函数所在位置函数;通过对源码进行漏洞分析可以检测出来的开源组件到底有无使用,或者到底有无使用到其中的漏洞函数,如果有,根据检测出来的数据,可以针对性修改,大大节约了修复漏洞的难度和时间。
本发明提出了一种组件可达性和漏洞可达性分析的方法,通过对函数信息进行关系解析,得到函数调用关系链,不限制语言,适用于所有编程语言,只需了解各个语言的解析语法树,并解析函数之间的调用关系,可以让多个函数调用关系合并为一条完整关联路径,进行漏洞分析时逻辑性更强,准确性更高;通过对开源组件源码进行函数提取,得到函数信息,避免漏洞分析的局限性,将开源组件的函数信息规格化入库以及根据组件名称和版本可以提供快速查询方法,提高漏洞分析的效率;对开源组件源码进行漏洞标记,得到漏洞函数,可以覆盖多种函数漏洞,增强漏洞分析的准确性;根据函数调用关系链以及漏洞函数对源码进行漏洞分析,得到漏洞分析结果,可以识别当前软件中是否使用了开源组件,以及使用了开源组件的那些方法。因此,本发明提出的一种组件和漏洞可达性分析方法,可以解决软件成分漏洞分析的效率及准确性较低的问题。
如图4所示,是本发明一实施例提供的组件和漏洞可达性分析装置的功能模块图。
本发明组件和漏洞可达性分析装置400可以安装于电子设备中。根据实现的功能,组件和漏洞可达性分析装置400可以包括函数提取模块401、关系解析模块402、漏洞标记模块403及漏洞分析模块404。本发明模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
在本实施例中,关于各模块/单元的功能如下:
函数提取模块401,用于获取开源组件源码,对开源组件源码进行函数提取,得到函数信息;
关系解析模块402,用于对函数信息进行关系解析,得到函数调用关系链;
漏洞标记模块403,用于对开源组件源码进行漏洞标记,得到漏洞函数;
漏洞分析模块404,用于获取待检测组件的源码,根据漏洞函数以及函数调用关系链对待检测组件的源码进行漏洞分析,得到漏洞分析结果。
详细地,本发明实施例中组件和漏洞可达性分析装置400中的各模块在使用时采用与附图中的组件和漏洞可达性分析方法一样的技术手段,并能够产生相同的技术效果,这里不再赘述。
如图5所示,是本发明一实施例提供的实现组件和漏洞可达性分析方法的电子设备的结构示意图。
电子设备500可以包括处理器501、存储器502、通信总线503以及通信接口504,还可以包括存储在存储器502中并可在处理器501上运行的计算机程序,如组件和漏洞可达性分析程序。
其中,处理器501在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing Unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。处理器501是电子设备的控制核心(Control Unit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在存储器502内的程序或者模块(例如执行组件和漏洞可达性分析程序等),以及调用存储在存储器502内的数据,以执行电子设备的各种功能和处理数据。
存储器502至少包括一种类型的可读存储介质,可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器502在一些实施例中可以是电子设备的内部存储单元,例如该电子设备的移动硬盘。存储器502在另一些实施例中也可以是电子设备的外部存储设备,例如电子设备上配备的插接式移动硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(Secure Digital,SD)卡、闪存卡(Flash Card)等。进一步地,存储器502还可以既包括电子设备的内部存储单元也包括外部存储设备。存储器502不仅可以用于存储安装于电子设备的应用软件及各类数据,例如基于组件和漏洞可达性分析程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
通信总线503可以是外设部件互连标准(Peripheral Component Interconnect,简称PCI)总线或扩展工业标准结构(Extended Industry Standard Architecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。总线被设置为实现存储器502以及至少一个处理器501等之间的连接通信。
通信接口504用于上述电子设备与其他设备之间的通信,包括网络接口和用户接口。可选地,网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该电子设备与其他电子设备之间建立通信连接。用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备中处理的信息以及用于显示可视化的用户界面。
图5仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图5示出的结构并不构成对电子设备500的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
例如,尽管未示出,电子设备还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理装置与至少一个处理器501逻辑相连,从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。电子设备还可以包括多种传感器、蓝牙模块、Wi-Fi模块等,在此不再赘述。
应该了解,实施例仅为说明之用,在专利申请范围上并不受此结构的限制。
电子设备500中的存储器502存储的组件和漏洞可达性分析程序是多个指令的组合,在处理器501中运行时,可以实现:获取开源组件源码,对开源组件源码进行函数提取,得到函数信息;对函数信息进行关系解析,得到函数调用关系链;对开源组件源码进行漏洞标记,得到漏洞函数;获取待检测组件的源码,根据漏洞函数以及函数调用关系链对待检测组件的源码进行漏洞分析,得到漏洞分析结果。
具体地,处理器501对上述指令的具体实现方法可参考附图对应实施例中相关步骤的描述,在此不赘述。
进一步地,电子设备500集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。计算机可读存储介质可以是易失性的,也可以是非易失性的。例如,计算机可读介质可以包括:能够携带计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)。
本发明还提供一种计算机可读存储介质,可读存储介质存储有计算机程序,计算机程序在被电子设备的处理器所执行时,可以实现:获取开源组件源码,对开源组件源码进行函数提取,得到函数信息;对函数信息进行关系解析,得到函数调用关系链;对开源组件源码进行漏洞标记,得到漏洞函数;获取待检测组件的源码,根据漏洞函数以及函数调用关系链对待检测组件的源码进行漏洞分析,得到漏洞分析结果。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
本申请实施例可以基于人工智能技术对相关的数据进行获取和处理。其中,人工智能(Artificial Intelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一、第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。
Claims (10)
1.一种组件和漏洞可达性分析方法,其特征在于,所述方法包括:
获取开源组件源码,对所述开源组件源码进行函数提取,得到函数信息;
对所述函数信息进行关系解析,得到函数调用关系链;
对所述开源组件源码进行漏洞标记,得到漏洞函数;
获取待检测组件的源码,根据所述漏洞函数以及所述函数调用关系链对所述待检测组件的源码进行漏洞分析,得到漏洞分析结果。
2.如权利要求1所述的组件和漏洞可达性分析方法,其特征在于,所述对所述函数信息进行关系解析,得到函数调用关系链,包括:
根据预设的函数关系集查找所述函数信息的调用关系;
将所述函数信息中的调用关系进行路径关联,得到关系树;
对所述关系树进行关系整理,得到函数调用关系链。
3.如权利要求1所述的组件和漏洞可达性分析方法,其特征在于,所述对所述开源组件源码进行漏洞标记,得到漏洞函数,包括:
从预设的漏洞库中查找漏洞函数片段;
将所述漏洞函数片段进行函数解析,得到函数信息;
根据所述函数信息对所述开源组件源码进行标记处理,得到漏洞函数。
4.如权利要求3所述的组件和漏洞可达性分析方法,其特征在于,所述根据所述函数信息对所述开源组件源码进行标记处理,得到漏洞函数,包括:
将所述函数信息与所述开源组件源码进行匹配,得到匹配函数;
将所述开源组件源码中所述匹配函数标记为漏洞函数,并对所述漏洞函数进行更新处理。
5.如权利要求1所述的组件和漏洞可达性分析方法,其特征在于,所述根据所述漏洞函数以及所述函数调用关系链对所述待检测组件的源码进行漏洞分析,得到漏洞分析结果,包括:
根据所述函数调用关系链对所述源码进行函数解析,得到待检测函数调用链;
根据所述漏洞函数检测所述待检测组件的源码中的漏洞信息;
当所述漏洞信息为所述待检测组件中存在漏洞时,根据所述函数调用关系链对所述待检测组件进行可达性分析,得到漏洞分析结果。
6.如权利要求5所述的组件和漏洞可达性分析方法,其特征在于,所述根据所述函数调用关系链对所述待检测组件进行可达性分析,得到漏洞分析结果,包括:
根据所述函数调用关系链对所述待检测组件进行可达性判断;
当所述待检测组件所述函数调用关系链指向所述待检测组件中函数时,则说明所述待检测组件是可达的,并将组件可达作为漏洞分析结果;
当所述待检测组件中不存在所述函数调用关系链指向所述标记函数时,则说明所述待检测组件是漏洞可达的,并将漏洞组件可达作为漏洞分析结果。
7.如权利要求1所述的组件和漏洞可达性分析方法,其特征在于,所述对所述开源组件源码进行函数提取,得到函数信息,包括:
对所述开源组件源码进行函数分析,得到初始组件函数;
将所述初始组件函数及所述初始组件函数的函数名称进行对应存储,得到函数信息。
8.一种组件和漏洞可达性分析装置,其特征在于,所述装置包括:
函数提取模块,用于获取开源组件源码,对所述开源组件源码进行函数提取,得到函数信息;
关系解析模块,用于对所述函数信息进行关系解析,得到函数调用关系链;
漏洞标记模块,用于对所述开源组件源码进行漏洞标记,得到漏洞函数;
漏洞分析模块,用于获取待检测组件的源码,根据所述漏洞函数以及所述函数调用关系链对所述待检测组件的源码进行漏洞分析,得到漏洞分析结果。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至7中任意一项所述的组件和漏洞可达性分析方法。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任意一项所述的组件和漏洞可达性分析方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311062235.9A CN117272310A (zh) | 2023-08-22 | 2023-08-22 | 一种组件和漏洞可达性分析方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311062235.9A CN117272310A (zh) | 2023-08-22 | 2023-08-22 | 一种组件和漏洞可达性分析方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117272310A true CN117272310A (zh) | 2023-12-22 |
Family
ID=89199808
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311062235.9A Pending CN117272310A (zh) | 2023-08-22 | 2023-08-22 | 一种组件和漏洞可达性分析方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117272310A (zh) |
-
2023
- 2023-08-22 CN CN202311062235.9A patent/CN117272310A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8370799B2 (en) | Provision of code base modification using automatic learning of code changes | |
| CN111666206A (zh) | 变更代码的影响范围的获取方法、装置、设备及存储介质 | |
| CN113821804A (zh) | 一种面向第三方组件及其安全风险的跨架构自动化检测方法与系统 | |
| KR20140050323A (ko) | 라이선스 검증 방법 및 그 장치 | |
| CN110727595B (zh) | 一种应用登录界面识别方法、智能终端及存储介质 | |
| CN113434542B (zh) | 数据关系识别方法、装置、电子设备及存储介质 | |
| US11868465B2 (en) | Binary image stack cookie protection | |
| CN116756710B (zh) | 基于特征标记追踪技术的开源治理方法、系统及电子设备 | |
| US10162629B1 (en) | Compiler independent identification of application components | |
| CN117648677A (zh) | 识别项目开源组件许可风险方法、装置、设备及存储介质 | |
| CN110334523B (zh) | 一种漏洞检测方法、装置、智能终端及存储介质 | |
| CN112579475A (zh) | 代码测试方法、装置、设备及可读存储介质 | |
| CN109947466B (zh) | 一种逆向获取ue4全局对象表的方法及其装置 | |
| CN117272310A (zh) | 一种组件和漏洞可达性分析方法、装置、设备及存储介质 | |
| CN115033489A (zh) | 代码资源检测方法、装置、电子设备及存储介质 | |
| CN113687827B (zh) | 基于微件的数据列表生成方法、装置、设备及存储介质 | |
| CN113051171B (zh) | 接口测试方法、装置、设备及存储介质 | |
| CN114968816A (zh) | 基于数据模拟的策略测试方法、装置、设备及存储介质 | |
| CN114936111A (zh) | 前端变量异常检测及修复方法、装置、设备及存储介质 | |
| CN114896164A (zh) | 接口优化方法、装置、电子设备及存储介质 | |
| CN114385155A (zh) | vue项目可视化工具生成方法、装置、设备及存储介质 | |
| CN114741700A (zh) | 基于符号化污点分析的公共组件库漏洞可利用性分析方法及装置 | |
| CN112527655A (zh) | 软件版本质量异常检测方法、装置、电子设备及存储介质 | |
| CN112686759A (zh) | 对账监测方法、装置、设备及介质 | |
| CN112527282B (zh) | 前端页面校验方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |