CN110806978A - 一种第三方组件的缺陷管理方法及装置 - Google Patents
一种第三方组件的缺陷管理方法及装置 Download PDFInfo
- Publication number
- CN110806978A CN110806978A CN201911050967.XA CN201911050967A CN110806978A CN 110806978 A CN110806978 A CN 110806978A CN 201911050967 A CN201911050967 A CN 201911050967A CN 110806978 A CN110806978 A CN 110806978A
- Authority
- CN
- China
- Prior art keywords
- component
- party
- defective
- target
- hash value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000007547 defect Effects 0.000 title claims abstract description 40
- 238000007726 management method Methods 0.000 title abstract description 39
- 230000002950 deficient Effects 0.000 claims abstract description 105
- 238000000034 method Methods 0.000 claims abstract description 58
- 238000001514 detection method Methods 0.000 claims abstract description 32
- 238000010586 diagram Methods 0.000 description 12
- 238000004590 computer program Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 10
- 230000008569 process Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000126 substance Substances 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 101100217298 Mus musculus Aspm gene Proteins 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000009193 crawling Effects 0.000 description 1
- 231100001261 hazardous Toxicity 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/362—Software debugging
- G06F11/366—Software debugging using diagnostics
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Computing Systems (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种第三方组件的缺陷管理方法,包括:对待检测应用***中的第三方组件进行漏洞检测,确定所述第三方组件中的缺陷组件;在预设的第三方组件库中查找与所述缺陷组件匹配的目标组件,其中,所述目标组件为所述缺陷组件的安全版本;当所述预设的第三方组件库中存在所述目标组件时,依据所述目标组件对所述缺陷组件进行升级。上述的方法中,不但对所述第三方组件进行漏洞检测,确定所述第三方组件中的缺陷组件,还确定了与所述缺陷组件匹配的目标组件,依据所述目标组件对所述缺陷组件进行升级,建立企业各应用***中第三方组件信息库,实现了对所述第三组件的缺陷管理。
Description
技术领域
本发明涉及漏洞修复技术领域,尤其涉及一种第三方组件的缺陷管理方法及装置。
背景技术
目前,大多数企业的应用***中会通过调用第三方组件的方式有效的节省项目的开发时间,提高开发效率。
但是,因调用第三方组件存在安全漏洞导致的安全问题屡见不鲜,现有技术中,会对应用***的第三方组件的缺陷进行检测,并没有针对缺陷进行管理。
发明内容
有鉴于此,本发明提供一种第三方组件的缺陷管理的方法及装置,来解决现有技术中缺少一种***化解决第三方组件漏洞检测、升级、定位的方法的问题,具体方案如下:
一种第三方组件的缺陷管理方法,包括:
对待检测应用***中的第三方组件进行漏洞检测,确定所述第三方组件中的缺陷组件;
在预设的第三方组件库中查找与所述缺陷组件匹配的目标组件,其中,所述目标组件为所述缺陷组件的安全版本;
当所述预设的第三方组件库中存在所述目标组件时,依据所述目标组件对所述缺陷组件进行升级。
上述的方法,可选的,还包括:
当所述预设的第三方组件库中不存在所述目标组件,访问互联网进行所述目标组件的下载。
上述的方法,可选的,对所述待检测应用***中的第三方组件进行漏洞检测,确定所述第三方组件中的缺陷组件,包括:
确定所述第三方组件的哈希值;
将所述哈希值与危险组件库中的各个组件哈希值进行匹配;
若所述哈希值中存在与所述各个危险组件哈希值中的至少一个相同的目标哈希值,将所述目标哈希值对应的第三方组件作为缺陷组件。
上述的方法,可选的,还包括:
每间隔预设的第一时长对所述危险组件库进行升级。
上述的方法,可选的,还包括:
每间隔预设的第二时长对所述预设的第三方组件库进行升级。
上述的方法,可选的,还包括:
获取所述缺陷组件的组件信息;
将所述组件信息通知给所述缺陷组件所属项目组。
一种第三方组件的缺陷管理装置,包括:
检测和确定模块,用于对待检测应用***中的第三方组件进行漏洞检测,确定所述第三方组件中的缺陷组件;
查找模块,用于在预设的第三方组件库中查找与所述缺陷组件匹配的目标组件,其中,所述目标组件为所述缺陷组件的安全版本;
升级模块,用于当所述预设的第三方组件库中存在所述目标组件时,依据所述目标组件对所述缺陷组件进行升级。
上述的装置,可选的,所述检测和确定模块包括:
哈希值确定单元,用于确定所述第三方组件的哈希值;
匹配单元,用于将所述哈希值与危险组件库中的各个组件哈希值进行匹配;
缺陷组件确定单元,用于若所述哈希值中存在与所述各个组件哈希值中的至少一个相同的目标哈希值,将所述目标哈希值对应的第三方组件作为缺陷组件。
一种存储介质,所述存储介质包括存储的程序,其中,所述程序执行上述的第三方组件的缺陷管理方法。
一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行上述的第三方组件的缺陷管理方法。
与现有技术相比,本发明包括以下优点:
本发明公开了一种第三方组件的缺陷管理方法,包括:对待检测应用***中的第三方组件进行漏洞检测,确定所述第三方组件中的缺陷组件;在预设的第三方组件库中查找与所述缺陷组件匹配的目标组件,其中,所述目标组件为所述缺陷组件的安全版本;当所述预设的第三方组件库中存在所述目标组件时,依据所述目标组件对所述缺陷组件进行升级。上述的方法中,不但对所述第三方组件进行漏洞检测,确定所述第三方组件中的缺陷组件,还确定了与所述缺陷组件匹配的目标组件,依据所述目标组件对所述缺陷组件进行升级,建立企业各应用***中第三方组件信息库,实现了对所述第三组件的缺陷管理。
当然,实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种第三方组件的缺陷管理方法流程图;
图2为本申请实施例公开的一种第三方组件的缺陷管理方法又一流程图;
图3为本申请实施例公开的一种第三方组件的缺陷管理平台示意图;
图4为本申请实施例公开的一种第三方组件的缺陷管理装置结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
本发明公开了一种第三方组件的缺陷管理方法及装置,应用在对应用***中第三方组件的缺陷管理过程中,其中,所述应用***包含多个组件,该多个组件中包括自研组件和第三方组件组成,由于第三方组件因应用***升级引入或新披露安全漏洞等情况产生安全风险,因此,本发明提供了一种第三方组件的缺陷管理方法,所述管理方法的执行流程如图1所示,包括步骤:
S101、对待检测应用***中的第三方组件进行漏洞检测,确定所述第三方组件中的缺陷组件;
本发明实施例中,在项目入场时,在所述待检测应用***的代码仓库中首先检测源代码是否调用了第三方组件,检测的方式通过对源代码进行自动化扫描,若其中存在第三方组件,在确定了所述三方组件之后,需要对所述第三方组件进行漏洞检测,通过匹配哈希值确定所述第三方组件中包含的缺陷组件。
S102、在预设的第三方组件库中查找与所述缺陷组件匹配的目标组件,其中,所述目标组件为所述缺陷组件的安全版本;
本发明实施例中,所述预设的第三方组件库是依据所述应用***中包含的第三方组件进行构建的,构建过程如下:访问所述应用***的代码仓库,识别所述应用***中所有已使用的第三方组件,识别出的安全组件直接纳入所述预设的第三方组件库进行管理,识别出有漏洞的组件则通过连接互联网下载安全的组件版本后纳入所述预设的第三方组件库进行管理。在所述第三方组件库中存储有组件的组件名称、版本号、组件哈希值、应用***名称、存储路径等信息。
进一步的,由于所述预设的第三方组件库中组件需要更新,因此,每间隔预设的第一时长,通过连接互联网将所述预设的第三方组件库中的组件版本进行下载和升级。
本发明实施例中,首先确定所述缺陷组件的哈希值,其中,哈希值可以使用MD5、SHA1、SHA256等哈希算法进行所述缺陷组件哈希值计算。所述缺陷组件中内容的任何变化都会导致哈希值的不同。通过哈希算法可以把所述缺陷组件转化为一段定长的字符串,如:d8b85a9c8a9e4ac65633999d7a20cacb。遍历所述预设的第三方组件库,查找与所述缺陷组件的哈希值相同的组件哈希值,该组件哈希值对应的第三方组件为所述目标组件。
进一步的,为了对所述目标组件进行验证,还可以采用组件名称和版本号等对所述目标组件进行验证。
S103、当所述预设的第三方组件库中存在所述目标组件时,依据所述目标组件对所述缺陷组件进行升级。
本发明实施例中,所述缺陷组件存在于所述应用***中的源代码中。存在形式可以依据应用***所属项目组不同,存储在不同的路径下。此时,当所述预设的第三方组件库中存在所述目标组件时,通过搜索的方法确定所述缺陷组件在所述应用***中的路径,在所述路径下将所述缺陷组件替换为所述目标组件,还有一种情况,所述缺陷组件均存储在指定的路径下,在将所述指定路径下的缺陷组件替换为与其对应的目标组件。
S104、当所述预设的第三方组件库中不存在所述目标组件,访问互联网进行所述目标组件的下载。
本发明实施例中,当所述预设的第三方组件库中不存在所述目标组件,访问互联网进行所述目标组件的下载。
本发明公开了一种第三方组件的缺陷管理方法,包括:对待检测应用***中的第三方组件进行漏洞检测,确定所述第三方组件中的缺陷组件;在预设的第三方组件库中查找与所述缺陷组件匹配的目标组件,其中,所述目标组件为所述缺陷组件的安全版本;当所述预设的第三方组件库中存在所述目标组件时,依据所述目标组件对所述缺陷组件进行升级。上述的方法中,不但对所述第三方组件进行漏洞检测,确定所述第三方组件中的缺陷组件,还确定了与所述缺陷组件匹配的目标组件,依据所述目标组件对所述缺陷组件进行升级,建立企业各应用***中第三方组件信息库,实现了对所述第三组件的缺陷管理。
本发明实施例中,在确定所述缺陷组件以后,获取所述缺陷组件的组件信息,其中,所述组件信息包括:组件的危害,漏洞描述和风险等级等以及需要更新的组件信息,将所述组件信息发送给所述缺陷组件所在应用***所属项目组,发送之前需要为每一个项目预先关联一个账户,将通知信息发送给到所述账户中。其中,发送的形式可以为邮件、短信、微信或者其它的发送形式,本发明实施例中,对具体的发送形式不进行限定。所述通知信息可以为:
***名称:财务管理***
危险组件名称:Apache Struts2
漏洞名称:远程代码执行漏洞(CVE-2017-5638)
风险等级:高
描述:恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行***命令。广泛应用Struts2的银行、互联网、政府等行业成为该高危漏洞重灾区。
修复方法:升级到指定版本VX.X.X。
进一步的,所述项目组依据所述组件信息对所述缺陷组件进行升级,升级完成后进行适配性验证,验证升级后的组件版本是否能够正常支持所述应用***的功能,是否会出现运行异常。
本发明实施例中,对所述第三方组件进行漏洞检测,确定所述待检测第三方组件中的缺陷组件的执行流程如图2所示,包括步骤:
S201、确定所述待检测第三方组件的哈希值;
本发明实施例中,确定所述待检测第三方组件哈希值的方法与确定所述缺陷组件哈希值的方法相同,在此不再赘述。
S202、将所述哈希值与危险组件库中的各个组件危险哈希值进行匹配;
本发明实施例中,所述危险组件库是通过国家信息安全漏洞库CNNVD(ChinaNational Vulnerability Database of Information Security)和国际安全漏洞库CVE(Common Vulnerabilities&Exposures)得到的,每间隔预设的第二时长对所述危险组件库进行更新,其中,所述危险组件库中包含组件名称、版本号、组件文件的危险哈希值、CVE名称、CNNVD编号、漏洞等级、漏洞描述、解决方案等内容,提供对上述内容的查询和编辑功能。将所述哈希值与危险组件库中的各个危险哈希值进行匹配,判断是否存在于所述哈希值相同的危险哈希值。
S203、若所述哈希值中存在与所述各个组件危险哈希值中的至少一个相同的目标哈希值,将所述目标哈希值对应的待检测第三方组件作为缺陷组件。
本发明实施例中,若所述哈希值中存在与所述各个危险哈希值中的至少一个相同的目标哈希值,将所述目标哈希值对应的待检测第三方组件作为缺陷组件;反之若不存在于所述哈希值相同的危险哈希值,则所述待检测第三方组件中不存在缺陷组件。
进一步的,为了对所述缺陷组件进行验证,还可以采用组件名称和版本号等对所述缺陷组件进行验证。
本发明实施例中,基于上述的管理方法,本发明构建了第三方组件缺陷管理平台,其中,所述管理平台的示意图如图3所示,包括:组件申请模块、组件库创建和查询模块,组件漏洞检测模块、组件风险通知模块、第三方组件库模块、组件匹配模块、代码仓库、邮件***、组件更新和下载模块、组件漏洞更新模块,其中:
所述组件申请模块,用于向项目组提供组件申请功能。所述预设的第三方组件库模块根据申请信息提供组件文件。如申请的组件未纳入所述第三方组件库管理的通过组件更新和下载模块访问互联网进行下载后提供。
所述组件库创建和查询模块,用于调用所述组件漏洞检测模块进行组件漏洞检测。识别出的安全的第三方组件直接纳入第三方组件库模块进行管理。还用于提供已有第三方组件和组件漏洞信息查询功能,可根据组件信息查询调用该组件的应用***信息。
所述组件漏洞检测模块,用于对组件漏洞检测任务进行设置和管理,实现定时或按照要求调用所述代码仓库中源代码和所述组件匹配模块进行组件漏洞检测的功能。
所述组件风险通知模块,用于通过与所述邮件***集成,将检测发现的危险组件信息自动以邮件形式通知项目组进行升级和软件功能性适配验证。
所述第三方组件库模块,用于对组件更新和下载的频率进行设置。受理组件申请,根据组件申请信息和所述组件缺陷检测模块的请求进行组件库中安全组件文件查询和组件文件提取。对于组件库中不存在的安全组件,调用组件更新和下载模块访问互联网进行安全组件下载。
所述组件匹配模块,用于自动爬取源代码中调用的第三方组件信息,通过文件名、版本号、文件哈希值等信息进行匹配,如一致,则确认为有漏洞组件。
所述组件更新和下载模块,用于根据所述第三方组件库模块请求,访问互联网进行安全的组件文件下载。自动定期通过互联网进行所述预设的第三方组件库中组件版本的下载和升级。
所述组件漏洞库更新模块,用于定期访问互联网对所述危险组件库进行升级。
基于上述的方法,本发明实施例中还提供了一种第三方组件的缺陷管理装置,所述管理装置的结构框图如图4所示,包括:
检测和确定模块301、查找模块302和升级模块303。
其中,
所述检测和确定模块301,用于对待检测应用***中的第三方组件进行漏洞检测,确定所述第三方组件中的缺陷组件;
所述查找模块302,用于在预设的第三方组件库中查找与所述缺陷组件匹配的目标组件,其中,所述目标组件为所述缺陷组件的安全版本;
所述升级模块303,用于当所述预设的第三方组件库中存在所述目标组件时,依据所述目标组件对所述缺陷组件进行升级。
本发明公开了一种第三方组件的缺陷管理装置,包括:对待检测应用***中的第三方组件进行漏洞检测,确定所述第三方组件中的缺陷组件;在预设的第三方组件库中查找与所述缺陷组件匹配的目标组件,其中,所述目标组件为所述缺陷组件的安全版本;当所述预设的第三方组件库中存在所述目标组件时,依据所述目标组件对所述缺陷组件进行升级。上述的装置中,不但对所述第三方组件进行漏洞检测,确定所述第三方组件中的缺陷组件,还确定了与所述缺陷组件匹配的目标组件,依据所述目标组件对所述缺陷组件进行升级,建立企业各应用***中第三方组件信息库,实现了对所述第三组件的缺陷管理。
本发明实施例中,所述检测和确定模块301包括:
哈希值确定单元304、匹配单元305和缺陷组件确定单元306。
其中,
所述哈希值确定单元304,用于确定所述第三方组件的哈希值;
所述匹配单元305,用于将所述哈希值与危险组件库中的各个组件哈希值进行匹配;
所述缺陷组件确定单元306,用于若所述哈希值中存在与所述各个组件哈希值中的至少一个相同的目标哈希值,将所述目标哈希值对应的第三方组件作为缺陷组件。
所述缺陷管理装置包括处理器和存储器,上述检测和确定模块、查找模块和升级模块等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来实现第三方组件的缺陷管理。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现所述缺陷管理方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述缺陷管理方法。
本发明实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:
一种第三方组件的缺陷管理方法,包括:
对待检测应用***中的第三方组件进行漏洞检测,确定所述第三方组件中的缺陷组件;
在预设的第三方组件库中查找与所述缺陷组件匹配的目标组件,其中,所述目标组件为所述缺陷组件的安全版本;
当所述预设的第三方组件库中存在所述目标组件时,依据所述目标组件对所述缺陷组件进行升级。
上述的方法,可选的,还包括:
当所述预设的第三方组件库中不存在所述目标组件,访问互联网进行所述目标组件的下载。
上述的方法,可选的,对所述待检测应用***中的第三方组件进行漏洞检测,确定所述第三方组件中的缺陷组件,包括:
确定所述第三方组件的哈希值;
将所述哈希值与危险组件库中的各个组件哈希值进行匹配;
若所述哈希值中存在与所述各个危险组件哈希值中的至少一个相同的目标哈希值,将所述目标哈希值对应的第三方组件作为缺陷组件。
上述的方法,可选的,还包括:
每间隔预设的第一时长对所述危险组件库进行升级。
上述的方法,可选的,还包括:
每间隔预设的第二时长对所述预设的第三方组件库进行升级。
上述的方法,可选的,还包括:
获取所述缺陷组件的组件信息;
将所述组件信息通知给所述缺陷组件所属项目组。
本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:
一种第三方组件的缺陷管理方法,包括:
对待检测应用***中的第三方组件进行漏洞检测,确定所述第三方组件中的缺陷组件;
在预设的第三方组件库中查找与所述缺陷组件匹配的目标组件,其中,所述目标组件为所述缺陷组件的安全版本;
当所述预设的第三方组件库中存在所述目标组件时,依据所述目标组件对所述缺陷组件进行升级。
上述的方法,可选的,还包括:
当所述预设的第三方组件库中不存在所述目标组件,访问互联网进行所述目标组件的下载。
上述的方法,可选的,对所述待检测应用***中的第三方组件进行漏洞检测,确定所述第三方组件中的缺陷组件,包括:
确定所述第三方组件的哈希值;
将所述哈希值与危险组件库中的各个组件哈希值进行匹配;
若所述哈希值中存在与所述各个危险组件哈希值中的至少一个相同的目标哈希值,将所述目标哈希值对应的第三方组件作为缺陷组件。
上述的方法,可选的,还包括:
每间隔预设的第一时长对所述危险组件库进行升级。
上述的方法,可选的,还包括:
每间隔预设的第二时长对所述预设的第三方组件库进行升级。
上述的方法,可选的,还包括:
获取所述缺陷组件的组件信息;
将所述组件信息通知给所述缺陷组件所属项目组。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、***或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种第三方组件的缺陷管理方法,其特征在于,包括:
对待检测应用***中的第三方组件进行漏洞检测,确定所述第三方组件中的缺陷组件;
在预设的第三方组件库中查找与所述缺陷组件匹配的目标组件,其中,所述目标组件为所述缺陷组件的安全版本;
当所述预设的第三方组件库中存在所述目标组件时,依据所述目标组件对所述缺陷组件进行升级。
2.根据权利要求1所述的方法,其特征在于,还包括:
当所述预设的第三方组件库中不存在所述目标组件,访问互联网进行所述目标组件的下载。
3.根据权利要求1所述的方法,其特征在于,对所述待检测应用***中的第三方组件进行漏洞检测,确定所述第三方组件中的缺陷组件,包括:
确定所述第三方组件的哈希值;
将所述哈希值与危险组件库中的各个组件哈希值进行匹配;
若所述哈希值中存在与所述各个危险组件哈希值中的至少一个相同的目标哈希值,将所述目标哈希值对应的第三方组件作为缺陷组件。
4.根据权利要求3所述的方法,其特征在于,还包括:
每间隔预设的第一时长对所述危险组件库进行升级。
5.根据权利要求1所述的方法,其特征在于,还包括:
每间隔预设的第二时长对所述预设的第三方组件库进行升级。
6.根据权利要求1所述的方法,其特征在于,还包括:
获取所述缺陷组件的组件信息;
将所述组件信息通知给所述缺陷组件所属项目组。
7.一种第三方组件的缺陷管理装置,其特征在于,包括:
检测和确定模块,用于对待检测应用***中的第三方组件进行漏洞检测,确定所述第三方组件中的缺陷组件;
查找模块,用于在预设的第三方组件库中查找与所述缺陷组件匹配的目标组件,其中,所述目标组件为所述缺陷组件的安全版本;
升级模块,用于当所述预设的第三方组件库中存在所述目标组件时,依据所述目标组件对所述缺陷组件进行升级。
8.根据权利要求7所述的装置,其特征在于,所述检测和确定模块包括:
哈希值确定单元,用于确定所述第三方组件的哈希值;
匹配单元,用于将所述哈希值与危险组件库中的各个组件哈希值进行匹配;
缺陷组件确定单元,用于若所述哈希值中存在与所述各个组件哈希值中的至少一个相同的目标哈希值,将所述目标哈希值对应的第三方组件作为缺陷组件。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序执行权利要求1至6中任意一项所述的第三方组件的缺陷管理方法。
10.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至6中任意一项所述的第三方组件的缺陷管理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911050967.XA CN110806978A (zh) | 2019-10-31 | 2019-10-31 | 一种第三方组件的缺陷管理方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911050967.XA CN110806978A (zh) | 2019-10-31 | 2019-10-31 | 一种第三方组件的缺陷管理方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110806978A true CN110806978A (zh) | 2020-02-18 |
Family
ID=69489781
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911050967.XA Pending CN110806978A (zh) | 2019-10-31 | 2019-10-31 | 一种第三方组件的缺陷管理方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110806978A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111291385A (zh) * | 2020-05-12 | 2020-06-16 | 深圳开源互联网安全技术有限公司 | Js脚本文件漏洞检测方法及*** |
CN111680302A (zh) * | 2020-06-08 | 2020-09-18 | 中国银行股份有限公司 | 第三方组件漏洞扫描方法及装置 |
CN112000572A (zh) * | 2020-08-07 | 2020-11-27 | 北京浪潮数据技术有限公司 | 一种源码扫描工具、方法、设备及介质 |
CN112118251A (zh) * | 2020-09-15 | 2020-12-22 | 四川长虹电器股份有限公司 | 一种基于maven插件的Java项目开源组件的漏洞检测方法 |
CN112463200A (zh) * | 2020-12-10 | 2021-03-09 | 微医云(杭州)控股有限公司 | 开发工具包处理方法、装置、电子设备以及存储介质 |
CN112868008A (zh) * | 2020-04-28 | 2021-05-28 | 深圳开源互联网安全技术有限公司 | Java开源组件的漏洞检测方法、装置及存储介质 |
CN113449306A (zh) * | 2021-09-02 | 2021-09-28 | 湖南省佳策测评信息技术服务有限公司 | 一种基于软件源代码分析的安全漏洞预警方法及*** |
CN117031052A (zh) * | 2023-10-09 | 2023-11-10 | 广州市普理司科技有限公司 | 单张印刷品正反面视觉检测控制*** |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104573525A (zh) * | 2014-12-19 | 2015-04-29 | 中国航天科工集团第二研究院七〇六所 | 一种基于白名单的专用信息服务软件漏洞修复*** |
CN108600222A (zh) * | 2018-04-24 | 2018-09-28 | 北京握奇智能科技有限公司 | 客户端应用与可信应用的通信方法、***以及终端 |
CN110221933A (zh) * | 2019-05-05 | 2019-09-10 | 北京百度网讯科技有限公司 | 代码缺陷辅助修复方法及*** |
CN110232279A (zh) * | 2019-06-06 | 2019-09-13 | 深圳前海微众银行股份有限公司 | 一种漏洞检测方法及装置 |
-
2019
- 2019-10-31 CN CN201911050967.XA patent/CN110806978A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104573525A (zh) * | 2014-12-19 | 2015-04-29 | 中国航天科工集团第二研究院七〇六所 | 一种基于白名单的专用信息服务软件漏洞修复*** |
CN108600222A (zh) * | 2018-04-24 | 2018-09-28 | 北京握奇智能科技有限公司 | 客户端应用与可信应用的通信方法、***以及终端 |
CN110221933A (zh) * | 2019-05-05 | 2019-09-10 | 北京百度网讯科技有限公司 | 代码缺陷辅助修复方法及*** |
CN110232279A (zh) * | 2019-06-06 | 2019-09-13 | 深圳前海微众银行股份有限公司 | 一种漏洞检测方法及装置 |
Non-Patent Citations (2)
Title |
---|
HOUGHTWORKS中国: "第三方组件安全分析", 《HTTPS://ZHUANLAN.ZHIHU.COM/P/31985961》, 13 December 2017 (2017-12-13), pages 1 - 3 * |
THOUGHTWORKS中国: "第三方组件安全分析", pages 1 - 3, Retrieved from the Internet <URL:https://zhuanlan.zhihu.com/p/31985961> * |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112868008A (zh) * | 2020-04-28 | 2021-05-28 | 深圳开源互联网安全技术有限公司 | Java开源组件的漏洞检测方法、装置及存储介质 |
CN111291385B (zh) * | 2020-05-12 | 2020-09-01 | 深圳开源互联网安全技术有限公司 | Js脚本文件漏洞检测方法及*** |
CN111898131A (zh) * | 2020-05-12 | 2020-11-06 | 深圳开源互联网安全技术有限公司 | Js脚本文件漏洞检测方法及*** |
CN111898131B (zh) * | 2020-05-12 | 2023-04-04 | 深圳开源互联网安全技术有限公司 | Js脚本文件漏洞检测方法及*** |
CN111291385A (zh) * | 2020-05-12 | 2020-06-16 | 深圳开源互联网安全技术有限公司 | Js脚本文件漏洞检测方法及*** |
CN111680302A (zh) * | 2020-06-08 | 2020-09-18 | 中国银行股份有限公司 | 第三方组件漏洞扫描方法及装置 |
CN112000572B (zh) * | 2020-08-07 | 2022-06-17 | 北京浪潮数据技术有限公司 | 一种源码扫描工具、方法、设备及介质 |
CN112000572A (zh) * | 2020-08-07 | 2020-11-27 | 北京浪潮数据技术有限公司 | 一种源码扫描工具、方法、设备及介质 |
CN112118251A (zh) * | 2020-09-15 | 2020-12-22 | 四川长虹电器股份有限公司 | 一种基于maven插件的Java项目开源组件的漏洞检测方法 |
CN112463200A (zh) * | 2020-12-10 | 2021-03-09 | 微医云(杭州)控股有限公司 | 开发工具包处理方法、装置、电子设备以及存储介质 |
CN113449306A (zh) * | 2021-09-02 | 2021-09-28 | 湖南省佳策测评信息技术服务有限公司 | 一种基于软件源代码分析的安全漏洞预警方法及*** |
CN117031052A (zh) * | 2023-10-09 | 2023-11-10 | 广州市普理司科技有限公司 | 单张印刷品正反面视觉检测控制*** |
CN117031052B (zh) * | 2023-10-09 | 2024-01-09 | 广州市普理司科技有限公司 | 单张印刷品正反面视觉检测控制*** |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110806978A (zh) | 一种第三方组件的缺陷管理方法及装置 | |
CN107657177B (zh) | 一种漏洞检测方法及装置 | |
CN102736978B (zh) | 一种检测应用程序的安装状态的方法及装置 | |
CN109918285B (zh) | 一种开源软件的安全识别方法及装置 | |
CN107992307B (zh) | 一种函数编译方法及装置 | |
CN102663281B (zh) | 检测恶意软件的方法和装置 | |
CN105786538B (zh) | 基于安卓***的软件升级方法和装置 | |
CN107038045A (zh) | 加载库文件的方法及装置 | |
JP2019525287A (ja) | 脆弱なアプリケーションの検出 | |
CN105335187A (zh) | 一种应用的处理方法及装置 | |
CN104008340A (zh) | 病毒查杀方法及装置 | |
US8869284B1 (en) | Systems and methods for evaluating application trustworthiness | |
CN104517054A (zh) | 一种检测恶意apk的方法、装置、客户端和服务器 | |
US10176319B2 (en) | Maintaining secure clustered software with a container-based architecture | |
CN104317599A (zh) | 检测安装包是否被二次打包的方法和装置 | |
CN110806971A (zh) | 一种版本测试方法、装置及电子设备 | |
CN103793649A (zh) | 通过云安全扫描文件的方法和装置 | |
CN104156215A (zh) | 基于移动操作***获取应用程序信息的方法及装置 | |
KR20140093699A (ko) | 부정 어플리케이션 검지 시스템 및 방법 | |
CN110298179B (zh) | 开源框架安全漏洞检测方法及装置 | |
US11695793B2 (en) | Vulnerability scanning of attack surfaces | |
CN107103243B (zh) | 漏洞的检测方法及装置 | |
CN104915594A (zh) | 应用程序运行方法及装置 | |
CN114021115A (zh) | 恶意应用程序的检测方法、装置、存储介质及处理器 | |
US9686310B2 (en) | Method and apparatus for repairing a file |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200218 |