TWI831072B - 開源軟體風險評鑑與智能監控系統及方法 - Google Patents
開源軟體風險評鑑與智能監控系統及方法 Download PDFInfo
- Publication number
- TWI831072B TWI831072B TW110141140A TW110141140A TWI831072B TW I831072 B TWI831072 B TW I831072B TW 110141140 A TW110141140 A TW 110141140A TW 110141140 A TW110141140 A TW 110141140A TW I831072 B TWI831072 B TW I831072B
- Authority
- TW
- Taiwan
- Prior art keywords
- open source
- software
- source software
- unit
- user
- Prior art date
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 115
- 238000000034 method Methods 0.000 title claims description 24
- 238000013475 authorization Methods 0.000 claims abstract description 39
- 238000011156 evaluation Methods 0.000 claims description 55
- 238000012552 review Methods 0.000 claims description 24
- 230000008520 organization Effects 0.000 claims description 9
- 238000004458 analytical method Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000007726 management method Methods 0.000 description 4
- 238000012550 audit Methods 0.000 description 3
- 230000014509 gene expression Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Landscapes
- Stored Programmes (AREA)
- Debugging And Monitoring (AREA)
Abstract
本發明提供一種開源軟體風險評鑑與智能監控系統,用以評鑑並監控使用者端使用開源軟體。該系統包含輸入單元、評鑑單元以及監控單元。輸入單元用以輸入使用者端所發送的包含對應開源軟體的開源軟體資料的軟體使用申請。評鑑單元包含專家模組,用以根據判斷標準評鑑及分析開源軟體資料以選擇性地授權使用者端使用該開源軟體,並且定期更新判斷標準。監控單元根據評鑑單元的授權檢測使用者端所安裝及使用該開源軟體的軟體使用狀況是否符合判斷標準並達到風險預警之目的。
Description
本發明關於一種風險評鑑與智能監控系統及方法,並且特別地,關於一種用於評鑑和監控開源軟體風險的開源軟體風險評鑑與智能監控系統及方法。
近年由於金融科技的蓬勃發展,多數企業皆會運用開源軟體進行系統的開發和應用,例如,行動支付、P2P(Peer-to-Peer)交易以及區塊鏈等,皆屬於金融科技能提供的服務範疇。
據統計,多數企業對於開源軟體的應用高達75%。開源軟體擁有開放原始碼的特性,因此,企業內部的軟體開發者能夠透過易於取得且低成本具靈活性的開源軟體,進而提升系統軟體的功能。然而,企業使用開放的原始碼也衍生許多安全性及管理上的問題。於安全層面上,由於開源軟體允許使用者學習、修改及分發軟體,因此具有版權問題、資安漏洞、許可證違規、程式碼洩露等風險。於管理層面上,軟體開發人員及風險管理人員需以人工管控軟體清單的方式,逐一審核所使用的開源軟體是否為已授權軟體或維持在最適版本,除了無法全面性的審核公司所使用的
軟體,也無法及時揭露新的開源軟體資訊,缺少效率及機動性。
另一方面,目前開源軟體監控方式採用人工控管,缺乏效率且出錯率高,同時也因為使用中和待評鑑的開源軟體,其風險和弱點判斷係由軟體開發人員及風險管理人員所選擇,未能精準鑑別風險,且未必與公司和客戶的期待的相符,在往返的溝通和資料審核過程中,也延緩決策的速度。
有鑑於此,本發明之一範疇在於提供一種開源軟體風險評鑑與智能監控系統,以解決先前技術的問題。
本發明提供一種開源軟體風險評鑑與智能監控系統包含有輸入單元、評鑑單元以及監控單元。輸入單元與使用者端連接,用以接收及輸入來自使用者端所發送的軟體使用申請,其中軟體使用申請包含對應開源軟體的開源軟體資料。評鑑單元連接輸入單元並包含專家模組,專家模組根據一判斷標準評鑑及分析該開源軟體資料以產生對應開源軟體的一風險,並且根據風險選擇性地授權使用者端使用開源軟體並產生授權結果。其中判斷標準包含軟體版本及軟體弱點之至少一者。監控單元連接評鑑單元及使用者端,用以根據該評鑑單元的授權檢測及監控該使用者端安裝及使用該開源軟體的軟體使用狀況。當使用者端的軟體使用狀況與授權結果不符時,監控單元產生警示訊號,以達到風險預警之目的。
其中,軟體使用狀況包含使用者端是否更新開源軟體的軟體版本以及開源軟體是否通過該評鑑單元授權使用。
其中,開源軟體風險評鑑與智能監控系統進一步包含顯示單
元連接至監控單元。顯示單元用以顯示監控單元所監控的使用者端的軟體使用狀況。當監控單元檢測出使用者端未更新開源軟體的軟體版本或使用者端安裝及使用的開源軟體未通過評鑑單元授權使用時,監控單元產生警示訊號至顯示單元,並且顯示單元顯示警示訊號以達到風險預警之目的。
其中,監控單元將警示訊號傳送至使用者端。
其中,開源軟體風險評鑑與智能監控系統還進一步包含儲存單元連接評鑑單元,用以儲存判斷標準。
其中,開源軟體風險評鑑與智能監控系統進一步包含檢索單元連接儲存單元以及外部情資系統。檢索單元用以自外部情資系統取得外部軟體資訊並將外部軟體資訊儲存至儲存單元。其中,外部情資系統包含外部網路、網際網路及開源軟體資料庫,並且外部軟體資訊包含更新的軟體版本資訊、軟體弱點資訊及軟體授權狀態改變與否。
其中,專家模組比對及分析儲存於儲存單元中的外部軟體資訊與判斷標準,以產生一更新判斷標準
其中,開源軟體風險評鑑與智能監控系統進一步包含一組織組態資料庫連接監控單元,並且組織組態資料庫包含一使用者端組態資訊。評鑑單元將專家模組分析開源軟體資料所產生的授權結果加入一白名單,並且使用者端組態資訊包含使用白名單中已核准的開源軟體的使用者端的資訊。監控單元根據軟體使用申請、白名單及使用者端組態資訊產生警示訊號。
本發明之一範疇在於提供一種開源軟體風險評鑑與智能監控方法,以解決先前技術的問題。
在一具體實施例中,開源軟體風險評鑑與智能監控方法包含以下步驟:輸入單元輸入使用者端所發送的軟體使用申請,其中軟體使用申請包含對應開源軟體的開源軟體資料;評鑑單元的專家模組根據判斷標準評鑑及分析開源軟體資料以產生對應開源軟體的一風險,並根據風險選擇性地授權使用者端使用開源軟體並產生授權結果;監控單元根據評鑑單元的授權檢測使用者端安裝及使用開源軟體的軟體使用狀況;以及當使用者端的軟體使用狀況與評鑑單元所產生的授權結果不符時,監控單元產生警示訊號。
其中,開源軟體風險評鑑與智能監控方法進一步包含以下步驟:評鑑單元儲存判斷標準至儲存單元;檢索單元自外部情資系統取得外部軟體資料並且將外部軟體資料儲存至儲存單元;以及評鑑單元的專家模組比對及分析儲存於儲存單元的外部軟體資訊以及判斷標準以產生更新判斷標準。
綜上所述,本發明之開源軟體風險評鑑與智能監控系統,可根據輸入單元所登錄之待評鑑之開源軟體進行審核,使用數位化進件,且根據軟體版本、授權狀態和軟體弱點作為審查基準,標準化與簡化軟體審核的機制進而提高審核之效率。再者,本發明之開源軟體風險評鑑與智能監控系統可監控使用端使用開源軟體的狀況,如發現使用未經核准之軟體,或使用者端所安裝使用的開源軟體版本未更新,該系統即會發送警示訊息給使用端以及顯示單元,讓使用者與企業管理者能即時了解公司內部不符合審查基準之開源軟體使用狀況,提升管理的效率。此外,本發明之開源軟體風險評鑑與智能監控系統,也可將判斷標準與外部軟體資訊進行
比對,以定期更新判斷標準,並生成一份包含已核准之開源軟體的白名單儲存於資料庫中,方便使用者確認並安裝使用已核准之開源軟體,進而提高使用效率並降低成本。此外,也可監控不同的使用者端使用開源軟體的狀況。
1、2:開源軟體風險評鑑與智能監控系統
3:使用者端
4:外部情資系統
11、21:輸入單元
12、22:評鑑單元
121、221:專家模組
2211:儲存單元
2212:檢索單元
13、23:監控單元
14、24:顯示單元
5:組織組態資料庫
S1~S9:步驟
圖1係繪示根據本發明之一具體實施例之開源軟體風險評鑑與智能監控系統的功能方塊圖。
圖2係繪示根據本發明之另一具體實施例之開源軟體風險評鑑與智能監控系統的功能方塊圖。
圖3係繪示根據本發明之另一具體實施例之開源軟體風險評鑑與智能監控系統的功能方塊圖。
圖4係繪示根據本發明之一具體實施例之開源軟體風險評鑑與智能監控方法的步驟流程圖。
圖5係繪示根據本發明之另一具體實施例之開源軟體風險評鑑與智能監方法的步驟流程圖。
為了讓本發明的優點,精神與特徵可以更容易且明確地了解,後續將以具體實施例並參照所附圖式進行詳述與討論。值得注意的是,這些具體實施例僅為本發明代表性的具體實施例,其中所舉例的特定方法、裝置、條件、材質等並非用以限定本發明或對應的具體實施例。又,圖中各裝置僅係用於表達其相對位置且未按其實際比例繪述,合先敘明。
在本公開的各種實施例中,表述“或”包括同時列出的文字的任何組合或所有組合。例如,表述“A或B”可包括A、可包括B或可包括A和B二者。此外,本發明裝置或元件前的不定冠詞“一”、“一種”和“一個”對裝置或元件的數量要求(即出現次數)無限制性。因此“一”應被解讀為包括一或至少一,並且單數形式的裝置或元件也包括複數形式,除非所述數量明顯指單數形式。
在本說明書的描述中,參考術語“一具體實施例”、“另一具體實施例”或“部分具體實施例”等的描述意指結合該實施例描述的具體特徵、結構、材料或者特點包含於本發明的至少一個實施例中。在本說明書中,對上述術語的示意性表述不一定指的是相同的實施例。而且,描述的具體特徵、結構、材料或者特點可以在任何的一個或多個實施例中以合適的方式結合。
請參考圖1。圖1係繪示根據本發明之一具體實施例之開源軟體風險評鑑與智能監控系統1的功能方塊圖。在本具體實施例中,開源軟體風險評鑑與智能監控系統1包含有輸入單元11、評鑑單元12以及監控單元13。輸入單元11與使用者端3連接,用以接收來自使用者端3所發送的開源軟體使用申請。評鑑單元12與輸入單元11連接,用以接收輸入單元11所傳輸的開源軟體使用申請的資訊。評鑑單元12進一步包含專家模組121,當評鑑單元12收到申請的資訊時,專家模組121會針對申請資訊以及所申請使用的開源軟體進行比對、分析及判斷該申請之開源軟體是否符合判斷標準並產生一授權結果。在本具體實施例中,若開源軟體未能通過評鑑單元12之審核,評鑑單元12便會結束該次申請程序;如開源軟體通過審核,專家模
組121便會將授權結果以及核准之軟體資料進行儲存。監控單元13連接使用者端3、評鑑單元12及顯示單元14,用以接收評鑑單元12所傳輸的判斷標準資訊及授權結果並根據該資訊或授權結果對使用者端3安裝或使用開源軟體的狀況進行監控。此外,開源軟體風險評鑑與智能監控系統1進一步包含顯示單元14,可用以顯示使用者端3申請使用開源軟體之授權結果、各使用者端使用開源軟體的狀況,或者目前已通過使用審核的開源軟體清單;另外,如發現使用者端3使用不符合軟體授權或判斷標準之軟體,監控單元13則會發出警示訊號並傳送給使用者端3與顯示單元14進行顯示。
於實務中,本發明的開源軟體風險評鑑與智能監控系統1可為伺服器、工作站或其他可進行運算的裝置。使用者端3可為企業內部的電腦或其他可進行程式運算的裝置、或是任何可應用開源軟體風險評鑑與智能監控系統1的電腦、行動裝置及其他可進行程式運算的裝置。
輸入單元11可為鍵盤、觸控螢幕、掃描器或其他可供使用者輸入資料的裝置,或者,輸入單元11也可建立於上述伺服器、工作站或其他可進行運算的裝置的中央運算單元或運算晶片中,並透過網路接收使用者端3的申請資訊。於實務中,輸入單元11所輸入及接收的申請資訊可包含開源軟體資料,而開源軟體資料可包含軟體版本、軟體授權狀態、軟體弱點或風險資訊等任何有關開源軟體的資訊,甚至開源軟體本身。或者,輸入單元11所接收的申請資訊也可僅包含所欲申請的開源軟體的名稱及版本,而開源軟體風險評鑑與智能監控系統1則於輸入單元11接收使用者端3申請時,依據開源軟體的名稱及版本在網路上搜尋軟體授權狀態、軟體弱點或風險資訊或開源軟體本身,以利後續審核程序。
評鑑單元12可建立於上述伺服器或工作站的中央處理單元(CPU)、系統晶片或是任何可進行運算之裝置之中。評鑑單元12具有專家模組121。專家模組121可用以進一步接收評鑑單元12自輸入單元11所輸入的資料、使用者端所接收的資料或是由網路搜尋得到的開源軟體資料,並且將上述資料與建立於專家模組121內的判斷標準進行比對、分析及判斷該申請是否符合判斷標準並產生一授權結果。於實務中,判斷標準可包含多種開源軟體的軟體版本、軟體弱點、授權狀態等。專家模組121可透過判斷標準分析開源軟體使用申請的開源軟體資料來評估開源軟體是否的版權問題、資安漏洞、許可證違規、程式碼洩露等風險。而授權結果可包含通過及不通過,並且也可包含開源軟體的開源軟體資料。當專家模組121判斷使用者端所申請的開源軟體的風險較低時,則評鑑單元12授權使用者端可使用開源軟體使用申請中的開源軟體並且產生通過的授權結果;相反地,當專家模組121判斷使用者端所申請的開源軟體的風險較高時,則評鑑單元12產生不通過的授權結果。
監控單元13可建立於上述伺服器或工作站的中央處理單元(CPU)、系統晶片或是任何可進行運算之裝置之中,監控單元13連接使用者端3並且可根據評鑑單元12所產生的授權結果來監控使用者端3所安裝及使用的開源軟體的軟體使用狀況。於實務中,當使用者端3申請一開源軟體並且評鑑單元12授權使用者端3可使用該開源軟體時,監控單元13會隨機性或規律性地監控使用者端3所使用的開源軟體。當使用者端3反安裝、降階或更新開源軟體以使開源軟體及其資料與評鑑單元12所產生的授權結果中的開源軟體及其資料不符時,則監控單元13會發出警示訊號並傳送給使用者
端3與顯示單元14。此外,即使評鑑單元12不授權使用者端3所申請的開源軟體時,監控單元13仍可監控使用者端3所使用的開源軟體。當評鑑單元12不授權使用者端3所申請的開源軟體並且監控單元13檢測到使用者端3已安裝或使用該開源軟體時,表示使用者端3違規安裝開源軟體。此時,監控單元13會發出警示訊號並傳送給使用者端3與顯示單元14。
於實務中,顯示單元14可為電腦螢幕、平板電腦與手機螢幕等。在本具體實施例中,顯示單元14連接監控單元13,當接收到監控單元13所傳送之警示訊號時,便會將資料以圖像視覺化的方式呈現,在本具體實施例中,以風險儀表板的方式呈現,包含使用橫條圖、圓形圖或折線圖等多種類型的圖表,將數據資料圖像化以利管理者可快速從各個指標中察覺問題,提升應變效率。
請參考圖2。圖2係繪示根據本發明之另一具體實施例之開源軟體風險評鑑與智能監控系統2的功能方塊圖。本具體實施例與前述具體實施例不同處在於,本具體實施例之開源軟體風險評鑑與智能監控系統2還進一步包含儲存單元2211連接至評鑑單元22,用以儲存判斷標準,專家模組221會讀取儲存於儲存單元2211中的判斷標準,並與待審核之開源軟體進行比對,若開源軟體未能通過評鑑單元22之審核,評鑑單元22便會結束該次申請程序;如開源軟體通過審核,專家模組221便會將核准之開源軟體資訊儲存至儲存單元2211。
其中,開源軟體風險評鑑與智能監控系統2還進一步包含檢索單元2212,該檢索單元2212連接儲存單元2211及外部情資系統4,檢索單元2212可透過外部情資系統4取得關於開源軟體的各種更新資訊或者是新
的風險資訊,並將取得的更新資訊傳送到儲存單元2211,接著,專家模組221會將更新資訊與已授權之白名單進行交叉比對,以揭露已有風險之開源軟體。另外,白名單中也可以包含使用已核准之開源軟體的使用者端名單。
於實務中,外部情資系統4可為外部網路、網際網路以及開源軟體資料庫。
而監控單元23也可從評鑑單元22中存取更新後的判斷標準,並根據更新後的判斷標準監控使用者端3所運行中的開源軟體,有無因為更新後的判斷標準而變成違規使用之開源軟體(如:版本未更新、授權狀態改變或偵測到新的弱點),如監控到不符更新後判斷標準之軟體,監控單元23則會發出警示訊號並傳送給使用者端3與顯示單元24。
請參考圖3。圖3係繪示根據本發明之另一具體實施例之開源軟體風險評鑑與智能監控系統2的功能方塊圖。本具體實施例與前述具體實施例不同處在於本具體實施例之儲存單元2211進一步連接一組織組態資料庫5,而此組織組態資料庫5中可儲存一使用者端組態資訊,使用者端組態資訊為關於使用白名單上之已核准之開源軟體的使用者端的資訊。於實務中,與開源軟體風險評鑑與智能監控系統2連接並受其監控的使用者端3可不只一個,而組織組態資料庫5所儲存的使用者端組態資訊可紀錄使用或安裝白名單上已核准開源軟體的所有使用者端的資訊。評鑑單元22或監控單元23可以由儲存單元2211獲得白名單及組織組態資料庫5中的使用者端組態資訊,並且將軟體使用申請、白名單及使用者端組態資訊比對實際受監控的使用者端3所裝設的開源軟體,藉此可得知並顯示使用者端3是否有未經申請即安裝開源軟體的狀況。舉例來說,若使用者端組態資訊中紀錄了
某一使用者端3並沒有申請白名單中的特定開源軟體的使用,而當監控單元23獲知該使用者端3使用此特定開源軟體時,將會發出警示訊號至顯示單元24或該使用者端3。進一步地,當監控單元23獲知該使用者端3使用某一未核准的開源軟體時且未紀錄於使用者端組態資訊中,監控單元23也會發出警示訊號至顯示單元24或使用者端3。
請參考圖1及圖4。圖4係繪示圖1之開源軟體風險評鑑與智能監控系統1達成審核開源軟體或監控使用者使用開源軟體的步驟流程圖。在本具體實施例中,開源軟體風險評鑑與智能監控方法包含以下步驟:步驟S1:輸入單元11輸入使用者端3所傳送的開源軟體使用申請的開源軟體資料,包含軟體名稱、軟體版本及授權狀態等;步驟S2:評鑑單元12會將接收到的開源軟體資料傳輸到專家模組121,並且專家模組121根據判斷標準比對、分析及判斷開源軟體資料,以判斷開源軟體是否符合判斷標準之規定及風險,若開源軟體未能通過專家模組121之審核,就會進入步驟S3:結束開源軟體申請程序;若開源軟體通過審核,則會進入步驟S4:專家模組121便會將核准之軟體資料進行儲存;步驟S5:監控單元13會根據評鑑單元12的授權來監控使用者端3所使用中之開源軟體的軟體使用狀況,如:軟體版本更新與否以及該開源軟體是否已經過該評鑑單元12授權使用;步驟S6:當監控單元13監控到使用者端3所使用之開源軟體的版本為未更新或未經評鑑單元授權使用或與評鑑單元12的授權不符的情況時,監控單元13產生警示訊號到使用者端3及顯示單元14。
請參考圖2及圖4。圖4係繪示圖2之開源軟體風險評鑑與智能監控系統2達成審核開源軟體或監控使用者使用開源軟體的步驟流程圖。在
本具體實施例中,開源軟體風險評鑑與智能監控方法包含以下步驟:步驟S1:輸入單元21輸入使用者端3所傳送的開源軟體使用申請的開源軟體資料,包含軟體名稱、軟體版本及授權狀態等;步驟S2:評鑑單元22會將接收到的開源軟體資料傳輸到專家模組221,專家模組221會讀取儲存在儲存單元2211內部的判斷標準比對、分析及判斷開源軟體資料,以判斷該開源軟體是否符合判斷標準之規定及風險,若開源軟體未能通過專家模組221之審核,就會進入步驟S3:結束開源軟體申請程序;若開源軟體通過審核,則會進入步驟S4:專家模組221便會將核准之軟體資料儲存於儲存單元2211;步驟S5:監控單元23會根據判斷標準及評鑑單元22的授權來監控使用者端3所使用中之開源軟體的狀況,如:軟體版本更新與否以及該開源軟體是否已經過該評鑑單元22授權使用;步驟S6:當監控單元23監控到使用者端3所使用之開源軟體的版本為未更新或未經評鑑單元授權使用的情況時,監控單元23產生警示訊號到使用者端3及顯示單元24。
請參考圖2及圖5。圖5係繪示圖2之開源軟體風險評鑑與智能監控系統2達成審核開源軟體或監控使用者使用開源軟體的步驟流程圖。在本具體實施例中,開源軟體風險評鑑與智能監控方法包含以下步驟:步驟S1:輸入單元21輸入使用者端3所傳送的開源軟體使用申請的開源軟體資料,包含軟體名稱、軟體版本及授權狀態等;步驟S7:評鑑單元22會將接收到的開源軟體資料傳輸至專家模組221,專家模組221會讀取儲存在儲存單元2211內部的判斷標準比對、分析及判斷開源軟體資料,以判斷該開源軟體是否符合判斷標準之規定及風險,並將通過審核之開源軟體清單儲存至儲存單元2211;步驟S8:檢索單元2212透過外部情資系統4檢索關於開源
軟體的外部軟體資訊,並將檢索到的外部軟體資訊傳送至儲存單元2211;步驟S9:專家模組221將儲存於儲存單元2211的外部軟體資訊與判斷標準進行比對及分析以產生一更新判斷標準;步驟S2:評鑑單元22會將接收到的開源軟體資料傳輸到專家模組221,專家模組221會讀取儲存在儲存單元2211內部的判斷標準比對、分析及判斷開源軟體資料,以判斷該開源軟體是否符合判斷標準之規定及風險,若開源軟體未能通過專家模組221之審核,就會進入步驟S3:結束開源軟體申請程序;若開源軟體通過審核,則會進入步驟S4:專家模組221便會將核准之軟體資料儲存於儲存單元2211;步驟S5:監控單元23會根據判斷標準及評鑑單元22的授權來監控使用者端3所使用中之開源軟體的狀況,如:軟體版本更新與否以及該開源軟體是否已經過該評鑑單元22授權使用;步驟S6:當監控單元23監控到使用者端3所使用之開源軟體的版本為未更新或未經評鑑單元授權使用的情況時,監控單元23產生警示訊號到使用者端3及顯示單元24。
此外,當開源軟體通過專家模組221的審核及分析之後,評鑑單元22會將包含已核准開源軟體的開源軟體資料的授權結果加入一白名單中。因此,當其他使用者端3欲申請使用已經登錄在該軟體白名單的開源軟體時,則可省略評鑑單元22的判斷及審查程序,便可直接在使用者端3上安裝或使用該開源軟體,進而提高效率及便利性。並且,監控單元23亦可根據軟體使用申請、白名單及使用者端組態資訊監控使用者端3所使用中之開源軟體的軟體使用狀況。當監控單元23監控到使用者端3所使用之開源軟體的版本為未更新、未經評鑑單元授權使用的情況或不符合更新判斷標準時,監控單元23產生警示訊號到使用者端3及顯示單元24。
綜上所述,本發明之開源軟體風險評鑑與智能監控系統,可根據輸入單元所登錄之待評鑑之開源軟體進行審核,使用數位化進件,且根據軟體版本、授權狀態和軟體弱點作為審查基準,標準化與簡化軟體審核的機制進而提高審核之效率。再者,本發明之開源軟體風險評鑑與智能監控系統可監控使用端使用開源軟體的狀況,如發現使用者端安裝未經核准之軟體、使用者端所安裝使用的開源軟體版本未更新,或者使用者端未申請使用核准之開源軟體但已安裝該開源軟體,該系統即會發送警示訊息給使用端以及顯示單元,讓使用者與企業管理者能即時了解公司內部的各使用者端的開源軟體使用狀況,提升管理的效率。此外,本發明之開源軟體風險評鑑與智能監控系統,也可針對外部情資系統,取得關於開源軟體的各種更新的風險資訊,與已授權之白名單進行交叉比對,以揭露已有風險之開源軟體,並生成一份包含已核准之開源軟體的白名單儲存於資料庫中,方便使用者確認並安裝使用已核准之開源軟體,進而提高使用效率並降低成本。
藉由以上較佳具體實施例之詳述,係希望能更加清楚描述本發明之特徵與精神,而並非以上述所揭露的較佳具體實施例來對本發明之範疇加以限制。相反地,其目的是希望能涵蓋各種改變及具相等性的安排於本發明所欲申請之專利範圍的範疇內。因此,本發明所申請之專利範圍的範疇應根據上述的說明作最寬廣的解釋,以致使其涵蓋所有可能的改變以及具相等性的安排。
1:開源軟體風險評鑑與智能監控系統
3:使用者端
11:輸入單元
12:評鑑單元
121:專家模組
13:監控單元
14:顯示單元
Claims (9)
- 一種開源軟體風險評鑑與智能監控系統,用以評鑑並監控一使用者端使用一開源軟體,該開源軟體風險評鑑與智能監控系統包含:一輸入單元,用以輸入該使用者端所發送的一軟體使用申請,其中該軟體使用申請包含對應該開源軟體的一開源軟體資料;一評鑑單元,耦接該輸入單元並且包含一專家模組,該專家模組根據一判斷標準評鑑及分析該開源軟體資料以產生對應該開源軟體的一風險,該評鑑單元根據該風險選擇性地授權該使用者端使用該開源軟體並產生一授權結果,並且將已核准的該開源軟體的該授權結果加入一白名單,其中該判斷標準包含軟體版本及軟體弱點之至少一者;一組織組態資料庫,連接該評鑑單元,該組織組態資料庫用以儲存一使用者端組態資訊,其中該使用者端組態資訊包含使用該白名單中已核准的該開源軟體的該使用者端的資訊;以及一監控單元,耦接該評鑑單元以及該組織組態資料庫,該監控單元用以根據該評鑑單元所產生的該授權結果檢測該使用者端所安裝及使用該開源軟體的一軟體使用狀況,並且用以比對該軟體使用申請、該白名單以及該使用者端組態資訊;其中,當該使用者端的該軟體使用狀況與該評鑑單元所產生的該授權結果不符時,該監控單元產生一警示訊號;當該監控單元檢測出該使用者使用該白名單的該開源軟體並且該使用者端組態資訊不包含該使用者端所發送的對應該開源軟體的該軟體使用申請時,該監控單元產生該警示訊號。
- 如申請專利範圍第1項所述之開源軟體風險評鑑與智能監控系統,其中該軟體使用狀況包含該使用者端是否更新該開源軟體的軟體版本以及該開源軟體是否通過該評鑑單元授權使用。
- 如申請專利範圍第1項所述之開源軟體風險評鑑與智能監控系統,進一步包含一顯示單元耦接該監控單元以及該評鑑單元,該顯示單元用以顯示該監控單元所監控的該使用者端的該軟體使用狀況、該評鑑單元所產生的該授權結果、已通過審核的一開源軟體清單、以及該監控單元所產生的該警示訊號。
- 如申請專利範圍第3項所述之開源軟體風險評鑑與智能監控系統,其中該監控單元將該警示訊號傳送至該使用者端。
- 如申請專利範圍第1項所述之開源軟體風險評鑑與智能監控系統,進一步包含一儲存單元耦接該評鑑單元,該儲存單元用以儲存該判斷標準。
- 如申請專利範圍第5項所述之開源軟體風險評鑑與智能監控系統,進一步包含一檢索單元耦接該儲存單元及一外部情資系統,該檢索單元用以自該外部情資系統取得一外部軟體資訊並將該外部軟體資訊儲存至儲存單元,其中該外部情資系統包含一外部網路、一網際網路及一開源軟體資料庫,並且該外部軟體資訊包含對應該開源軟體的更新的一軟體版本資訊、一軟體弱點資訊及一軟體授權狀態。
- 如申請專利範圍第6項所述之開源軟體風險評鑑與智能監控系統,其中該評鑑單元的該專家模組比對及分析儲存於該儲存單元的該外部軟體資訊與該判斷標準,以產生一更新判斷標準。
- 一種開源軟體風險評鑑與智能監控方法,用以評鑑及監控一使用者端使用一開源軟體,該開源軟體風險評鑑與智能監控 方法包含以下步驟:一輸入單元輸入該使用者端所發送的一軟體使用申請,其中該軟體使用申請包含對應該開源軟體的一開源軟體資料;一評鑑單元的一專家模組根據一判斷標準評鑑及分析該開源軟體資料以產生對應該開源軟體的一風險,該評鑑單元根據該風險選擇性地授權該使用者端使用該開源軟體並產生一授權結果,並且將已核准的該開源軟體的該授權結果加入一白名單,其中該判斷標準包含軟體版本及軟體弱點之至少一者;一組織組態資料庫儲存一使用者端組態資訊,其中該使用者端組態資訊包含使用該白名單中已核准的該開源軟體的該使用者端的資訊;一監控單元根據該評鑑單元的授權檢測該使用者端安裝及使用該開源軟體的一軟體使用狀況,並且用以比對該軟體使用申請、該白名單以及該使用者端組態資訊;以及當該使用者端的該軟體使用狀況與該評鑑單元所產生的該授權結果不符時,該監控單元產生一警示訊號;當該監控單元檢測出該使用者使用該白名單的該開源軟體並且該使用者端組態資訊不包含該使用者端所發送的對應該開源軟體的該軟體使用申請時,該監控單元產生該警示訊號。
- 如申請專利範圍第8項所述之開源軟體風險評鑑與智能監控方法,進一步包含以下步驟:該評鑑單元儲存該判斷標準至一儲存單元;一檢索單元自一外部情資系統取得一外部軟體資訊並且將該外部軟體資訊儲存至儲存單元;以及該評鑑單元的該專家模組比對及分析儲存於該儲存單元 的該判斷標準以及該外部軟體資訊以產生一更新判斷標準。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW110141140A TWI831072B (zh) | 2021-11-04 | 2021-11-04 | 開源軟體風險評鑑與智能監控系統及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW110141140A TWI831072B (zh) | 2021-11-04 | 2021-11-04 | 開源軟體風險評鑑與智能監控系統及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW202319942A TW202319942A (zh) | 2023-05-16 |
TWI831072B true TWI831072B (zh) | 2024-02-01 |
Family
ID=87379035
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW110141140A TWI831072B (zh) | 2021-11-04 | 2021-11-04 | 開源軟體風險評鑑與智能監控系統及方法 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI831072B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW201607955A (zh) * | 2014-08-25 | 2016-03-01 | Univ China Medical | 多胜肽用於製造活體多效應之醫藥組合物之用途 |
CN108763928A (zh) * | 2018-05-03 | 2018-11-06 | 北京邮电大学 | 一种开源软件漏洞分析方法、装置和存储介质 |
US20210250367A1 (en) * | 2014-12-18 | 2021-08-12 | Sophos Limited | Process-specific network access control based on traffic monitoring |
-
2021
- 2021-11-04 TW TW110141140A patent/TWI831072B/zh active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW201607955A (zh) * | 2014-08-25 | 2016-03-01 | Univ China Medical | 多胜肽用於製造活體多效應之醫藥組合物之用途 |
US20210250367A1 (en) * | 2014-12-18 | 2021-08-12 | Sophos Limited | Process-specific network access control based on traffic monitoring |
CN108763928A (zh) * | 2018-05-03 | 2018-11-06 | 北京邮电大学 | 一种开源软件漏洞分析方法、装置和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
TW202319942A (zh) | 2023-05-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10007512B2 (en) | Bug clearing house | |
US8544098B2 (en) | Security vulnerability information aggregation | |
US7680918B2 (en) | Monitoring and management of assets, applications, and services using aggregated event and performance data thereof | |
US7752125B1 (en) | Automated enterprise risk assessment | |
US20060191007A1 (en) | Security force automation | |
US20150135281A1 (en) | Provisioning access to customer organization data in a multi-tenant system | |
US20060064598A1 (en) | Illegal access preventing program, apparatus, and method | |
CN101321084A (zh) | 在计算机环境中利用关联规则挖掘为计算实体产生配置规则的方法和装置 | |
US20070250932A1 (en) | Integrated enterprise-level compliance and risk management system | |
US20220038486A1 (en) | Method and system for determining cybersecurity maturity | |
US11362912B2 (en) | Support ticket platform for improving network infrastructures | |
US9082085B2 (en) | Computing environment climate dependent policy management | |
US8307219B2 (en) | Enterprise black box system and method for data centers | |
CN112949798B (zh) | 基于rfid技术的实验室设备管理方法及其系统 | |
TWI831072B (zh) | 開源軟體風險評鑑與智能監控系統及方法 | |
CN117527568A (zh) | 一种数据整合平台的数据接入方法及系统 | |
CN111125066B (zh) | 检测数据库审计设备功能的方法及装置 | |
TWM619374U (zh) | 開源軟體風險評鑑與智能監控系統 | |
CN113271315A (zh) | 虚拟专用网络异常使用检测方法、装置和电子设备 | |
US9261951B2 (en) | Systems and methods for managing security data | |
Eyers et al. | Configuring large‐scale storage using a middleware with machine learning | |
US11558239B1 (en) | Intelligent system for network and device performance improvement | |
US11822916B2 (en) | Correlation engine for detecting security vulnerabilities in continuous integration/continuous delivery pipelines | |
US20230083977A1 (en) | Method and apparatus for identifying a logic defect in an application | |
TWI722431B (zh) | 產品項目的資料編輯權限之授權方法 |