WO2020244307A1

WO2020244307A1 - 一种漏洞检测方法及装置

Info

Publication number: WO2020244307A1
Application number: PCT/CN2020/084320
Authority: WO
Inventors: 余炯斌
Original assignee: 深圳前海微众银行股份有限公司
Priority date: 2019-06-06
Filing date: 2020-04-10
Publication date: 2020-12-10
Also published as: CN110232279A

Abstract

本发明实施例涉及金融科技，并公开了一种漏洞检测方法及装置，其中方法包括：接收到用户触发的漏洞检测指令后，获取预设漏洞库中存储的至少一个漏洞控件的标识，若确定预设数据库中存在使用第一漏洞控件的第一目标项目，则将第一目标项目显示给用户。本发明实施例中，通过对项目进行代码检测获取项目使用的控件，可以保证获取到的控件为项目执行过程中所使用的最新控件，如此，基于项目所使用的最新控件进行漏洞检测可以提高检测得到的项目漏洞的准确性；且，通过预设数据库即可获取到项目使用的控件，可以无需对项目重新进行代码检测，从而可以提高项目漏洞的检测效率，进而提高修复项目漏洞的效率。

Description

一种漏洞检测方法及装置

相关申请的交叉引用

本申请要求在2019年06月06日提交中国专利局、申请号为201910492144.6、申请名称为“一种漏洞检测方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及金融科技(Fintech)技术领域，尤其涉及一种漏洞检测方法及装置。

背景技术

随着计算机技术的发展，越来越多的技术应用在金融领域，传统金融业正在逐步向金融科技(Fintech)转变，但由于金融行业的安全性、实时性要求，也对技术提出了更高的要求。金融行业(比如银行、保险、证券机构)一般都会涉及到交易处理作业，由于金融行业的性质，需要尽可能地保证交易处理过程的准确性、安全性和不可丢失性，这就要求在交易处理的过程中实时监控网络信息的安全状况。若确定当前***中某一项目使用的控件出现漏洞，则可以及时修复漏洞，保证交易处理过程的正常运行。

基于数据库的漏洞扫描方式为对***中的漏洞进行检测的一种常用方式，以银行为例，银行中通常可以设置有配置管理数据库(Configuration Management Database，CMDB)，CMDB中可以存储与银行的管理信息技术产业(Information Technology，IT)架构相关的各种配置信息，比如项目的组件信息、服务信息、框架信息等。一般来说，项目人员可以在创建新的项目时将与项目相关的配置信息添加到CMDB中。基于此，采用该种方式进行漏洞检测时，若确定某一控件为漏洞控件，则可以通过CMDB查找***在注册时的多个项目以及多个项目的相关配置信息，从而确定该哪些项目使用了该漏洞控件。然而，采用上述方式，由于CMDB中的配置信息是在创建项目时添加的，因此，CMDB中的配置信息可能并不准确；比如以组件为例，若在项目上线之后对项目的组件进行了更新或升级，则项目实际所使用的组件与CMDB中项目的组件并不一致。由此可知，采用上述方式进行漏洞检测，无法准确定位使用漏洞控件的项目，从而使得漏洞检测的准确性较低。

综上，目前亟需一种漏洞检测方法，用以准确定位使用漏洞控件的项目，进而提高漏洞检测的准确性。

发明内容

本发明实施例提供一种漏洞检测方法及装置，用以准确定位使用漏洞控件的项目，进而提高漏洞检测的准确性。

第一方面，本发明实施例提供的一种漏洞检测方法，所述方法包括：

接收到用户触发的漏洞检测指令后，获取预设漏洞库中存储的至少一个漏洞控件的标识；进一步地，针对于所述至少一个漏洞控件中的第一漏洞控件，若确定预设数据库中存在使用所述第一漏洞控件的第一目标项目，则将所述第一目标项目显示给所述用户；所述预设数据库为对至少一个项目执行代码检测到的，所述预设数据库中存储有所述至少一个项目的标识和所述至少一个项目使用的控件。

在上述设计中，由于项目的代码是执行项目的基本单元，因此，通过对项目进行代码检测获取项目使用的控件，可以保证获取到的控件为项目执行过程中所使用的最新控件，如此，基于项目所使用的最新控件进行漏洞检测可以提高检测得到的项目漏洞的准确性；且，通过将项目对应的代码检测的结果存储在预设数据库中，可以通过预设数据库即可获取到项目使用的控件，而无需对项目重新进行代码检测，从而可以提高项目漏洞的检测效率，进而提高修复项目漏洞的效率。

在一种可能的设计中，所述至少一个项目使用的控件包括所述至少一个项目使用的框架、第三方组件和服务中的任意一项或任意多项；所述至少一个项目使用的第三方组件为所述至少一个项目使用的依赖库和/或插件。

在上述设计中，通过对项目的代码进行检测，可以精确地识别出项目所使用的框架、依赖库、插件、服务中的一项或多项信息，比如框架、依赖库、插件、服务的名称和/或版本；也就是说，采用上述设计可以在快速而精确地定位漏洞控件所属的项目，从而降低***暴露弱点或遭受攻击的可能性，提高***的安全性。

在一种可能的设计中，所述预设数据库为对至少一个项目执行代码检测到的，包括：根据所述至少一个项目的标识，获取所述至少一个项目分别对应的代码文件；进一步地，针对于所述至少一个项目中的第一项目，根据所述第一项目对应的代码文件的后缀名确定所述第一项目使用的编程语言，并根据所述第一项目对应的代码文件的目录结构和/或所述第一项目使用的编程语言确定所述第一项目的项目类型；根据所述第一项目的项目类型，从所述第一项目对应的代码文件中获取待检测文件，并对所述待检测文件进行检测，确定所述第一项目使用的控件；使用所述至少一个项目的标识和所述至少一个项目使用的控件生成所述预设数据库。

在上述设计中，通过使用项目对应的代码文件的目录结构和/或编程语言将项目划分为多种类型，可以使用项目类型对应的扫描方法获取待检测文件，从而提高检测项目漏洞的效率和准确度；且，通过确定多种项目类型和每种项目类型对应的扫描方法，可以使得对项目漏洞进行检测的过程更加符合实际情况，使得项目漏洞检测的场景更为广泛。

在一种可能的设计中，所述根据所述第一项目的项目类型，从所述第一项目对应的代码文件中获取待检测文件，包括：若确定所述第一项目是使用第一预设工具构建得到的，则从所述第一项目对应的代码文件的pom.xml数据包中获取properties标签、dependencies标签和/或plugins标签分别对应的内容；或者，若确定所述第一项目不是使用所述第一预设工具构建得到的，则获取所述第一项目使用的编程语言；若所述第一项目使用的编程语言为java语言，则获取所述代码文件的jar数据包文件，或者，若所述第一项目使用的编程语言为Javescript类型，则获取所述代码文件的package.json数据包文件和/或package-lock.json数据包文件，或者，若所述第一项目使用的编程语言为python类型，则获取所述代码文件的头文件。

在上述设计中，通过对每种项目类型设置对应的扫描方法，可以基于对应的扫描方法快速地获取项目类型对应的待检测文件，从而可以提高检测项目漏洞的效率。

在一种可能的设计中，所述方法还包括：若所述预设数据库中不存在使用所述第一漏洞控件的目标项目，则确定当前处于运行状态的一个或多个项目，并根据所述一个或多个项目的标识，获取所述一个或多个项目的项目地址；进一步地，根据所述一个或多个项目的项目地址，调用应用程序编程API接口获取所述一个或多个项目分别对应的一个或多个待检测文件，并对所述一个或多个待检测文件进行代码检测，确定所述一个或多个项目使用的控件，若所述一个或多个项目中存在使用所述第一漏洞控件的第二目标项目，则将所述第二目标项目显示给用户。

在上述技术中，在预设数据库中不存在使用第一漏洞控件的项目时，通过对当前运行的项目进行代码分析，可以准确定位使用第一漏洞控件的项目，从而可以提高检测漏洞的准确性。

第二方面，本发明实施例提供的一种漏洞检测装置，所述装置包括：

收发模块，用于接收到用户触发的漏洞检测指令后，获取预设漏洞库中存储的至少一个漏洞控件的标识；

处理模块，用于针对于所述至少一个漏洞控件中的第一漏洞控件，若确定预设数据库中存在使用所述第一漏洞控件的第一目标项目，则将所述第一目标项目显示给所述用户；所述预设数据库为对至少一个项目执行代码检测到的，所述预设数据库中存储有所述至少一个项目的标识和所述至少一个项目使用的控件。

在一种可能的设计中，所述处理模块还用于：根据所述至少一个项目的标识，获取所述至少一个项目分别对应的代码文件；进一步地，针对于所述至少一个项目中的第一项目，根据所述第一项目对应的代码文件的后缀名确定所述第一项目使用的编程语言，并根据所述第一项目对应的代码文件的目录结构和/或所述第一项目使用的编程语言确定所述第一项目的项目类型；根据所述第一项目的项目类型，从所述第一项目对应的代码文件中获取待检测文件，并对所述待检测文件进行检测，确定所述第一项目使用的控件；使用所述至少一个项目的标识和所述至少一个项目使用的控件生成所述预设数据库。

在一种可能的设计中，所述处理模块具体用于：若确定所述第一项目是使用第一预设工具构建得到的，则从所述第一项目对应的代码文件的pom.xml数据包中获取properties标签、dependencies标签和/或plugins标签分别对应的内容；或者，若确定所述第一项目不是使用所述第一预设工具构建得到的，则获取所述第一项目使用的编程语言；若所述第一项目使用的编程语言为java语言，则获取所述代码文件的jar数据包文件，或者，若所述第一项目使用的编程语言为Javescript类型，则获取所述代码文件的package.json数据包文件和/或package-lock.json数据包文件，或者，若所述第一项目使用的编程语言为python类型，则获取所述代码文件的头文件。

在一种可能的设计中，所述处理模块还用于：若所述预设数据库中不存在使用所述第一漏洞控件的目标项目，则确定当前处于运行状态的一个或多个项目，并根据所述一个或多个项目的标识，获取所述一个或多个项目的项目地址；进一步地，根据所述一个或多个项目的项目地址，调用应用程序编程API接口获取所述一个或多个项目分别对应的一个或多个待检测文件，并对所述一个或多个待检测文件进行代码检测，确定所述一个或多个项目使用的控件；若所述一个或多个项目中存在使用所述第一漏洞控件的第二目标项目，则将所述第二目标项目显示给用户。

第三方面，本发明实施例提供的一种计算机可读存储介质，包括指令，当其在计算机设备的处理器上运行时，使得计算机设备的处理器执行上述第一方面所述方法的步骤。

第四方面，本发明实施例提供的一种计算机程序产品，当其在计算机设备上运行时，使得计算机设备执行上述第一方面所述方法的步骤。

第五方面，本发明实施例提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述第一方面所述方法的步骤。

本发明实施例中，由于项目的代码是执行项目的基本单元，因此，通过对项目进行代码检测获取项目使用的控件，可以保证获取到的控件为项目执行过程中所使用的最新控件，如此，基于项目所使用的最新控件进行漏洞检测可以提高检测得到的项目漏洞的准确性；且，通过将项目对应的代码检测的结果存储在预设数据库中，可以通过预设数据库即可获取到项目使用的控件，而无需对项目重新进行代码检测，从而可以提高项目漏洞的检测效率，进而提高修复项目漏洞的效率。

本发明的这些设计或其他设计在以下实施例的描述中会更加简明易懂。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种网络信息安全***的架构示意图；

图2为本发明实施例提供的一种漏洞检测方法的流程示意图；

图3为本发明实施例提供的一种漏洞检测装置的结构示意图；

图4为本发明实施例提供的一种计算机设备的结构示意图。

具体实施方式

为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

金融科技(Fintech)是指将信息技术融入金融领域后，为金融领域带来的一种新的创新科技，通过使用先进的信息技术辅助实现金融作业、交易执行以及金融***改进，可以提升金融***的处理效率、业务规模，并可以降低成本和金融风险。

金融科技行业涉及到多种作业方式，比如交易处理作业、办公处理作业、监控处理作业等。以交易处理作业为例，交易处理作业是金融科技行业的一种常规作业方式，由于交易处理作业涉及到交易账户和交易金额等信息，因此通常需要保证交易处理作业处理的交易是准确的、安全的和不可丢失的。一般来说，交易处理作业的执行主体为多种网络设备，若当前网络信息安全存在问题(比如某一网络设备运行的项目使用了漏洞控件)，则可能会使得整个交易处理过程会受到严重的影响。

基于此，目前亟需一种漏洞检测方法，用于准确定位使用漏洞控件的项目，进而提高漏洞检测的准确性。

图1为本发明实施例提供的一种网络信息安全***的架构示意图，如图1所示，网络信息安全***可以包括客户端设备100、漏洞检测服务器200、中心服务器300和与中心服务器300连接的至少一个网络服务器(比如图1所示意的网络服务器410～网络服务器460)。其中，中心服务器300和至少一个网络服务器可以构成集群服务器，至少一个网络服务器可以通过有线方式与中心服务器300连接，或者也可以通过无线方式与中心服务器300连接，具体不作限定。

如图1所示，至少一个网络服务器可以包括网络信息安全***中的各个服务器，比如域名服务器(Domain Name Server，DNS)410、全球广域网(World Wide Web，web)服务器420、数据库服务器430、文件服务器440、邮件服务器450和文件传输协议(File Transfer Protocol，FTP)服务器460等。其中，DNS服务器410可以用于提供域名功能，比如网络管理员可以通过DNS服务器410查询其它服务器的域名信息，或者也可以通过DNS服务器410响应自身服务器的域名信息。web服务器420可以用于提供网络功能，比如网络管理员可以通过web服务器420获取web网页，进而可以在web网页上搜索数据。数据库服务器430可以用于提供数据库功能，具体地说，数据库服务器430中可以设置有多种数据库软件，并可以使用多种数据库软件生成不同的数据库；举例来说，Oracle服务器、MySQL服务器、Microsoft SQL Server服务器均可以为数据库服务器。文件服务器440可以用于提供共享功能，比如，文件服务器440中可以存储共享文件，从而使得其它服务器通过与文件服务器440通信获取共享文件；举例来说，Windows Server 2003服务器即可以为一个文件服务器。邮件服务器450可以用于提供邮件功能，比如网络管理员可以通过邮件服务器450收发邮件、编辑邮件等；一般来说，邮件服务器450上可以设置有与邮件功能相关的一项或多项软件，比如WebEasyMail软件、Sendmail软件、Postfix软件、Qmail软件、Microsoft Exchange软件等。FTP服务器460又可以称为署理服务器，FTP服务器460可以用于提供扩展访问权限，比如网络管理员可以通过FTP服务器460的互联网协议地址(Internet Protocol Address，IP)将客户端设备100的IP变成其它服务器的IP，从而可以通过客户端设备100访问其它服务器，获取其它服务器上的资源。

需要说明的是，图1仅是一种示例性的简单说明，其所列举的网络服务器仅是为了便于说明方案，并不构成对方案的限定。可以理解的，网络信息安全***中还可以包括其它网络服务器，比如办公服务器、财务服务器等，具体不作限定。

基于图1所示意的***架构，图2为本发明实施例提供的一种漏洞检测方法对应的流程示意图，该方法包括：

步骤201，接收用户触发的漏洞检测指令。

在一种可能的实现方式中，客户端设备100上可以设置有全球广域网(World Wide Web，web)浏览器，用户可以通过在web浏览器上输入预设链接，获取漏洞管理界面；漏洞管理界面上可以设置有多种功能图标，比如“漏洞检测”功能图标、“显示漏洞信息”功能图标等。具体实施中，若用户想要对网络信息安全***中的至少一个网络服务器进行漏洞检测，则可以通过触发漏洞管理界面上的“漏洞检测”功能图标生成漏洞检测指令；如此，客户端设备100可以将漏洞检测指令发送给漏洞检测服务器200；相应地，漏洞检测服务器200接收到用户触发的漏洞检测指令后，可以基于漏洞检测指令对至少一个网络服务器进行漏洞检测。

步骤202，获取预设漏洞库中存储的至少一个漏洞控件的标识。

具体实施中，漏洞检测服务器200接收到用户触发的漏洞检测指令后，可以获取一个或多个预设漏洞库。其中，一个或多个预设漏洞库可以为全球信息安全领域中的多个漏洞数据库中的任意一个漏洞数据库或任意多个漏洞数据库，比如国家信息安全漏洞库(China National Vulnerability Database of Information Security，CNNVD)，美国国家信息安全漏洞库、赛门铁克漏洞库等。

本发明实施例中，一个或多个预设漏洞库中的每个预设漏洞库中可以存储有已确定存在漏洞的至少一个漏洞控件，比如，以CNNVD中可以存储有世界范围内已确定存在漏洞的数十万甚至数百万个漏洞控件。如此，漏洞检测服务器200可以获取一个或多个预设漏洞库中存储的至少一个漏洞控件的标识，并可以基于至少一个漏洞控件的标识进行漏洞检测。

本发明的下列实施例中以第一漏洞控件为例描述使用第一漏洞控件执行漏洞检测的过程，第一漏洞控件可以为一个或多个预设漏洞库中存储的任一漏洞控件，可以理解地，使用其它漏洞控件执行漏洞检测的过程可以参照该方法进行实现，具体不再赘述。

步骤203，确定预设数据库中是否存在使用了漏洞控件的项目。

具体实施中，可以预先获取预设数据库，预设数据库可以为对至少一个项目进行代码检测得到的，预设数据库中可以存储有至少一个项目的标识和至少一个项目使用的控件；如此，若确定预设数据库中存在使用第一漏洞控件的项目(比如项目a)，则可以确定项目a为使用了漏洞控件的项目，从而可以将项目a显示给用户。

在一个示例中，项目使用的控件可以包括该项目调用的框架、第三方组件、服务中的任意一项或任意多项，第三方组件可以为依赖库和/或插件。具体地说，项目使用的控件可以为开源控件，开源控件的代码可能与项目存在部分或完全不兼容的情况，因此，若在项目执行的过程中调用不兼容的开源控件，可能会使得项目执行过程出现漏洞。

本发明实施例中，通过对项目的代码进行检测，可以精确地识别出项目所使用的框架、依赖库、插件、服务中的一项或多项信息，比如框架、依赖库、插件、服务的名称和/或版本；也就是说，采用本发明实施例中的方案可以快速而精确地定位漏洞控件所属的项目，从而降低***暴露弱点或遭受攻击的可能性，提高***的安全性。

在一种可能的实现方式中，预设数据库可以为通过如下步骤a～步骤c得到的：

步骤a，根据至少一个项目的标识，获取至少一个项目的代码文件。

本发明实施例中，中心服务器300上可以设置有代码仓库，代码仓库中可以存储有网络服务器410～网络服务器460所使用的全部项目的项目代码以及项目信息。其中，代码仓库可以将每个项目的项目代码存储在一个代码文件中，如此，不同项目的项目代码可以存储在不同的项目文件中，从而可以提高管理项目代码的灵活性；相应地，代码仓库中可以设置有预设配置表，预设配置表中可以存储网络服务器410～网络服务器460所使用的全部项目的项目信息，比如项目名称、项目启动时间等。

本发明实施例中，代码仓库可以为基于开源工具生成的代码仓库，比如gitlab代码仓库。本发明的下列实施例中以gitlab代码仓库为例描述获取代码文件的过程。

在一个示例中，漏洞检测服务器200上可以设置有预设密钥，该预设密钥可以用于成功解锁中心服务器300上设置的代码仓库，且漏洞检测服务器200与客户端设备100是相对隔离的，即客户端设备100无法获取漏洞检测服务器200拉取到的代码文件；如此，漏洞检测服务器200即可以成功获取到代码文件，又可以保证代码文件的安全性。

具体实施中，漏洞检测服务器200可以按照预设周期从代码仓库中获取网络服务器410～网络服务器460中执行的项目的代码文件；比如，以网络服务器410～网络服务器460上分别设置有10个项目为例，中心服务器300中可以存储这60个项目的代码文件，若预设周期为5min，则漏洞检测服务器200可以每5min去中心服务器300中获取这60个项目的代码文件；如此，漏洞检测服务器200可以基于这60个项目的代码文件对这60个项目使用的控件进行检测，获取这60个项目中每个项目所使用的控件。

具体实施中，漏洞检测服务器200可以通过多种方式从代码仓库中获取全部项目的代码文件，比如可以通过网络管理员获取代码文件，或者也可以自动获取代码文件，具体不作限定。下面分别从这两个示例描述获取代码文件的具体实现过程。

示例一

在示例一中，漏洞检测服务器200可以自动获取代码文件。

具体实施中，漏洞检测服务器200可以向中心服务器300发送代码获取指令，代码获取指令可以用于获取代码仓库中存储的全部项目的项目信息；代码获取指令可以包括预设密钥。相应地，中心服务器300接收代码获取指令后，可以对漏洞检测服务器200进行身份验证；若确定预设密钥与代码仓库的密钥匹配。则确定漏洞检测服务器200的身份合法，如此，中心服务器300可以将所有项目的项目信息发送给漏洞检测服务器200。

在一个示例中，漏洞检测服务器200可以在获取全部项目的项目信息后，将全部项目的项目信息通过客户端设备100显示给用户，以使用户确定目标项目；进一步地，漏洞检测服务器200若接收到客户端设备100发送的目标项目的标识，则可以向中心服务器300发送代码获取指令，如此，中心服务器接收到代码获取指令后，可以将目标项目的代码文件发送给漏洞检测服务器200。在另一个示例中，漏洞检测服务器200可以在获取全部项目的项目信息后，向中心服务器300发送代码获取指令，如此，中心服务器接收到代码获取指令后，可以将全部项目的代码文件发送给漏洞检测服务器200。在又一个示例中，漏洞检测服务器200可以在获取全部项目的项目信息后，向中心服务器300发送部分代码获取指令，如此，中心服务器接收到部分代码获取指令后，可以将全部项目的代码文件中的部分代码内容发送给漏洞检测服务器200。

示例二

在示例二中，漏洞检测服务器200可以通过网络管理员获取代码文件。

具体实施中，网络管理员可以通过客户端设备100向漏洞检测服务器200发送代码获取指令，比如，网络管理员可以通过客户端设备100上的web浏览器获取到gitlab代码仓库的管理界面，并可以通过预设网址和网络管理员的账号信息和预设密钥登录gitlab代码仓库的管理界面，进而可以在管理界面上触发“获取代码”功能图标，从而生成代码获取指令；或者，网络管理员可以获取gitlab代码仓库的命令行，并可以在命令行中输入网络管理员的账号信息和预设密钥，从而生成代码获取指令。

相应地，中心服务器300在接收代码获取指令后，可以对网络管理员进行身份验证；若确定网络管理员的账号信息合法，则可以将代码仓库中的所有项目的项目信息显示给用户。比如，若全部项目包括项目w ₁～项目w ₃，则中心服务器300可以在客户端设备100的gitlab代码仓库的管理界面上显示项目w ₁～项目w ₃的项目信息，或者也可以将项目w ₁～项目w ₃的项目信息显示在命令行中，或者也可以将项目w ₁～项目w ₃的项目信息语音播报给用户，具体不作限定。

本发明实施例中，项目的项目信息可以包括项目的项目地址和/或项目的项目编号、项目名称、项目描述、项目成员、项目地址中的任意一项或任意多项。其中，项目的项目地址可以为项目的代码文件在gitlab代码仓库中存储的位置信息，如此，网络管理员可以通过项目的项目地址从gitlab代码仓库中获取项目的代码文件。

步骤b，根据每个项目的代码文件，获取每个项目的待检测文件，并对待检测文件进行代码检测确定每个项目使用的控件。

以将项目w ₁～项目w ₃中的项目w ₁为例，具体实施中，获取项目w ₁的代码文件后，可以分析代码文件的目录结构，并可以根据代码文件的后缀名确定项目w ₁使用的编程语言确定代码文件的文件类型，进而可以通过代码文件的目录结构和文件类型确定项目w ₁的项目类型。其中，根据代码文件的目录结构可以确定项目w ₁的执行主体，比如执行主体为服务器或终端(安卓类型)。以项目w ₁的执行主体为服务器为例，若项目w ₁为使用对象模型maven构建得到的，则可以通过第一方法确定项目w ₁的项目类型；若项目w ₁并非为使用maven构建得到的，则可以通过第二方法确定项目w ₁的项目类型。具体地说，若项目w ₁并非为使用POM构建得到的，则可以根据项目w ₁使用的编程语言确定项目w ₁的项目类型，比如，若项目w ₁的代码文件为php文件，则可以确定项目w ₁的项目类型为php；若项目w ₁的代码文件为php文件，则项目w ₁的项目类型可以为java类型；若项目w ₁的代码文件为Javescript文件，则项目w ₁的项目类型可以为Javescript类型；若项目w ₁的代码文件为python，则项目w ₁的项目类型可以为python类型。

进一步地，在确定项目w ₁的项目类型后，可以使用该项目类型对应的扫描方法获取待检测文件，并可以对待检测文件进行代码检测确定项目w ₁使用的控件。下面具体描述确定项目w ₁使用的控件的几种可能的情形。

情形一

在情形一中，项目w ₁为使用maven构建得到的项目。

本发明实施例中，若项目w ₁为使用POM构建得到的项目，则项目w ₁的代码文件的目录结构中可以包括一个pom.xml数据包，pom.xml数据包中存储了创建和运行项目w ₁时所需的控件的名称和版本。具体地说，pom.xml数据包下可以包括properties标签、dependencies标签和/或plugins标签，其中，properties标签对应的内容用于定义项目w ₁所使用的框架的名称和版本，dependencies标签对应的内容用于定义项目w ₁所使用的依赖库的名称和版本，plugins标签对应的内容用于定义项目w ₁所使用的插件的名称和版本。

作为一个示例，若漏洞检测服务器200确定项目w ₁为使用POM构建得到的项目，则可以获取pom.xml数据包下的properties标签、dependencies标签和plugins标签，并可以通过分析properties标签确定项目w ₁所使用的框架的名称和版本，通过分析dependencies标签确定项目w ₁所使用的依赖库的名称和版本，通过分析plugins标签确定项目w ₁所使用的插件的名称和版本。如此，项目w ₁所使用的控件可以包括上述确定得到的框架的名称和版本、依赖库的名称和版本以及插件的名称和版本。

下面分别描述根据properties标签、dependencies标签和plugins标签确定项目w ₁使用的控件的具体实现方式。

properties标签

本发明实施例中，properties标签可以用于定义项目w ₁所使用的公共版本变量，比如框架的名称和版本。若properties标签中定义了框架的名称和版本为例，则漏洞检测服务器200可以通过分析properties标签的代码结构获取项目w ₁所使用的框架的名称和版本。

在一个示例中，properties标签的结构可以为：

<***version>${***.version}</***version>

其中，properties标签中可以设置有version标识，version标识前的内容(即“***”)可以用于定义项目w ₁所使用的框架的名称，version标识后的内容(即“***.version”)可以用于定义项目w ₁所使用的框架的版本。

举例来说，若properties标签为<spring.version>1.2.6</spring.version>，则可以确定项目w ₁使用了spring框架，spring框架的版本为1.2.6。

dependencies标签

本发明实施例中，dependencies标签可以用于定义项目w ₁所使用的依赖库的名称和版本；相应地，可以通过分析dependencies标签的代码结构获取项目w ₁所使用的依赖库的名称和版本。

在一个示例中，dependencies标签中可以定义有一个或多个公共变量，通过对一个或多个公共变量赋值可以获取依赖库的名称和版本。在该示例中，dependencies标签的结构可以为：

在该示例中，dependencies标签中可以设置有groupId标识、artifactId标识和version标识；其中，groupId标识和artifactId标识后的内容(即“***”)可以用于定义项目w ₁所使用的公共变量的名称，version标识后的内容(即“***.version”)可以用于定义项目w ₁所使用的公共变量的版本。

相应地，若将“***”变量赋值为spring，将“***.version”变量赋值为1.2，则项目w ₁所使用的框架的名称可以为spring，框架的版本可以为1.2。

在另一个示例中，dependencies标签也可以直接定义依赖库的名称和版本。在该示例中，dependencies标签的结构可以为：

在该示例中，通过dependencies标签中定义的“<groupId>org.springframework</groupId>”可以确定项目w ₁使用的框架的名称为spring；通过dependencies标签定义的“<version>1.2.6</version>”可以确定项目w ₁使用的框架的版本为1.2。

plugins标签

本发明实施例中，plugins标签可以用于定义项目w ₁所使用的插件的信息，比如插件的名称和版本。若plugins标签中定义了插件的名称和版本，则可以通过分析plugins标签的代码结构获取项目w ₁所使用的插件的名称和版本。

在一个示例中，plugins标签的结构可以为：

在该示例中，plugins标签中可以设置groupId标识、artifactId标识和version标识；其中，groupId标识可以用于定义项目w ₁的项目类型(即maven类型)，artifactId标识可以用于定义项目w ₁所使用的插件(即jar插件)，version标识可以用于定义项目w ₁所使用的插件的版本(即版本3.0.2)。

综上所述，properties标签中可以设置有version标识，而dependencies标签和plugins标签中可以设置有groupId标识、artifactId标识和version标识。因此，具体实施中，漏洞检测服务器200若确定项目w ₁为使用maven工具构建的项目，则可以从项目w ₁的代码文件中获取properties标签、dependencies标签和plugins标签，通过对properties标签、dependencies标签和plugins标签中的groupId标识、artifactId标识和version标识进行分析，即可以获取项目w ₁所使用的控件(比如服务、依赖库、插件以及框架)的名称和版本。

情形二

在情形二中，项目w ₁不是使用构建得到的，如此，可以按照如下几个子情形执行。

子情形一

在子情形一中，项目w ₁的项目类型为java类型。

本发明实施例中，若项目w ₁的项目类型为java类型，则项目w ₁的代码文件的目录结构中可以包括一个jar数据包，jar数据包中存储了创建和运行项目w ₁时所需的控件的名称和版本，比如框架、依赖库和第三方组件的名称和版本。因此，漏洞检测服务器200若确定项目w ₁的项目类型为java类型，则可以从项目w ₁的代码文件中获取jar数据包，通过对jar数据包进行分析，可以获取项目w ₁所使用的控件(比如框架、依赖库和第三方组件)的名称和版本。

子情形二

在子情形二中，项目w ₁的项目类型为Javescript类型。

本发明实施例中，若项目w ₁的项目类型为Javescript类型，则项目w ₁的代码文件的目录结构中可以包括package.json数据包文件和/或package-lock.json数据包文件，package.json数据包文件和/或package-lock.json数据包文件中存储了创建和运行项目w ₁时所需的控件的名称和版本，比如框架、依赖库和第三方组件的名称和版本。因此，漏洞检测服务器200若确定项目w ₁的项目类型为Javescript类型，则可以从项目w ₁的代码文件中获取package.json数据包文件和/或package-lock.json数据包文件，通过对package.json数据包文件和/或package-lock.json数据包进行分析，可以获取项目w ₁所使用的控件(比如框架、依赖库和第三方组件)的名称和版本。

子情形三

在子情形三中，项目w ₁的项目类型为python类型。

一般来说，python类型的项目中的控件(比如第三方组件)通常需要通过import标识导入代码文件的起始位置；因此，漏洞检测服务器200若确定项目w ₁的项目类型为python类型，则可以从项目w ₁的代码文件中获取文件头，通过对头文件中的import标识进行分析，即可获取项目w ₁所使用的第三方组件的名称和版本。

情形三

在情形三中，项目w ₁的项目类型为除上述情形一和情形二以外的类型。

一般来说，项目的代码文件中都会设置有requirements.txt文件，该文件可以用于记录项目所使用的第三方组件的名称和版本。因此，漏洞检测服务器200若确定项目w ₁的项目类型为除上述四种类型之外的类型，则可以从项目w ₁的代码文件中获取requirements.txt文件，通过对requirements.txt文件进行分析，即可获取项目w ₁所使用的第三方组件的名称和版本。

本发明实施例中，通过使用项目对应的代码文件的目录结构和编程语言将项目划分为多种类型，并设置每种项目类型设置对应的扫描方法，可以使得客户端设备使用项目类型对应的扫描方法获取待检测文件，从而提高检测项目漏洞的效率和准确度；且，通过确定多种项目类型和每种项目类型对应的扫描方法，可以使得对漏洞进行检测的过程更加符合实际情况，使得漏洞检测的场景更为广泛。

步骤c，根据至少一个项目的标识和至少一个项目使用的控件生成预设数据库。

具体实施中，通过步骤b中的方法，漏洞检测服务器200可以获取网络服务器410～网络服务器460执行的全部项目的标识以及全部项目使用的控件；如此，漏洞检测服务器200可以根据全部项目的标识以及全部项目使用的控件生成预设数据库。

表1为采用步骤a～步骤c生成的一种预设数据库的示意表。

表1：一种预设数据库的示意

如表1所示，网络服务器410执行的项目包括项目w ₁～项目w ₃，项目w ₁使用的控件为1.2.6版本的Spring框架，项目w ₂使用的控件为4.2版本的Guice插件，项目w ₃使用的控件为Beta版本的Jar依赖库；网络服务器420执行的项目包括项目w ₄，项目w ₄使用的控件为24.0.0版本的recyclerview依赖库；网络服务器430执行的项目包括项目w ₅，项目w ₅使用的控件为4.0.1版本的Spring框架。

基于表1所示意的预设数据库，若第一漏洞控件的标识为Spring，则可以通过查看预设数据库确定项目w ₅和项目w ₁均使用了Spring控件，如此，漏洞检测服务器200可以执行步骤204a；若第一漏洞控件的标识为ocx，则可以通过查看预设数据库确定不存在项目使用了ocx控件，如此，漏洞检测服务器300可以执行步骤204b。

步骤204a，从预设数据库中获取使用了漏洞控件的目标项目。

基于表1所示意的预设数据库，若第一漏洞控件的标识为Guice，则可以通过查看预设数据库确定项目w ₂为目标项目，如此，漏洞检测服务器200可以将项目w ₂的项目信息发送给客户端设备100。

步骤204b，获取代码仓库中的全部项目的代码，并确定全部项目中使用了漏洞控件的目标项目。

在一个示例中，若第一漏洞控件的标识为ocx，则预设数据库中不存在与第一漏洞控件的标识匹配的漏洞控件，即预设数据库中不存在使用了ocx控件的项目；如此，漏洞检测服务器200可以按照步骤b的方法从代码仓库中获取网络服务器410～网络服务器460上运行的所有项目的代码文件，进而可以使用每个项目所属的项目类型对应的扫描方法对每个项目的代码文件进行代码检测，从而确定出每个项目使用的控件。进一步地，查询所有项目中是否存在项目使用了ocx控件，若存在某一项目(比如项目w ₆)使用了ocx控件，则可以将项目w ₆的项目信息发送给客户端设备100。

本发明实施例中，通过将项目对应的代码检测的结果存储在预设数据库中，可以通过预设数据库即可获取到项目使用的控件，而无需对项目重新进行代码检测，从而可以提高项目漏洞的检测效率，进而提高修复项目漏洞的效率；相应地，在预设数据库中不存在使用漏洞控件的项目时，通过对代码仓库中所有项目进行代码分析，可以确定每个项目当前使用的控件，从而可以提高检测项目漏洞的准确性。

步骤205，将使用第一漏洞控件的目标项目显示给用户。

具体实施中，客户端设备100接收到漏洞检测服务器200发送的项目w ₆的项目信息后，可以将项目w ₆的项目信息显示给用户，比如，可以通过客户端设备100上的漏洞管理界面显示给用户，或者也可以通过客户端设备100的命令行显示给用户，具体不作限定。

在一种可能的实现方式中，客户端设备100还可以生成项目w ₆对应的告警信息，并可以从项目w ₆的项目信息中获取项目w ₆的项目成员，从而可以将告警信息推送给项目w ₆的项目成员；比如，客户端设备100可以通过微信、钉钉等方式将告警信息实时推送给项目w ₆ 的项目成员，或者也可以通过邮件将告警信息定时推送给项目w ₆的项目成员，具体不作限定。相应地，项目w ₆的项目成员在接收到客户端设备100发送的告警信息后，即可对项目w ₆中的漏洞控件进行修复，比如可以升级漏洞控件的版本，或者可以对漏洞控件的代码进行修改。如此，通过采用实时推送的方式将告警信息发送给项目成员，可以及时项目中的漏洞控件进行修复，从而可以避免运行使用了漏洞控件的项目，降低***遭受攻击的风险，提高***的安全性。

本发明的上述实施例中，接收到用户触发的漏洞检测指令后，获取预设漏洞库中存储的至少一个漏洞控件的标识，进而针对于所述至少一个漏洞控件中的第一漏洞控件，若确定预设数据库中存在使用所述第一漏洞控件的第一目标项目，则将所述第一目标项目显示给所述用户；所述预设数据库为对至少一个项目执行代码检测到的，所述预设数据库中存储有所述至少一个项目的标识和所述至少一个项目使用的控件。本发明实施例中，由于项目的代码是执行项目的基本单元，因此，通过对项目进行代码检测获取项目使用的控件，可以保证获取到的控件为项目执行过程中所使用的最新控件，如此，基于项目所使用的最新控件进行漏洞检测可以提高检测得到的项目漏洞的准确性；且，通过将项目对应的代码检测的结果存储在预设数据库中，可以通过预设数据库即可获取到项目使用的控件，而无需对项目重新进行代码检测，从而可以提高项目漏洞的检测效率，进而提高修复项目漏洞的效率。

针对上述方法流程，本发明实施例还提供一种漏洞检测装置，该装置的具体内容可以参照上述方法实施。

图3为本发明实施例提供的一种漏洞检测装置的结构示意图，包括：

收发模块301，用于接收到用户触发的漏洞检测指令后，获取预设漏洞库中存储的至少一个漏洞控件的标识；

处理模块302，用于针对于所述至少一个漏洞控件中的第一漏洞控件，若确定预设数据库中存在使用所述第一漏洞控件的第一目标项目，则将所述第一目标项目显示给所述用户；所述预设数据库为对至少一个项目执行代码检测到的，所述预设数据库中存储有所述至少一个项目的标识和所述至少一个项目使用的控件。

可选地，所述至少一个项目使用的控件包括所述至少一个项目使用的框架、第三方组件和服务中的任意一项或任意多项；所述至少一个项目使用的第三方组件为所述至少一个项目使用的依赖库和/或插件。

可选地，所述处理模块302还用于：

根据所述至少一个项目的标识，获取所述至少一个项目分别对应的代码文件；

针对于所述至少一个项目中的第一项目，根据所述第一项目对应的代码文件的后缀名确定所述第一项目使用的编程语言，并根据所述第一项目对应的代码文件的目录结构和/或所述第一项目使用的编程语言确定所述第一项目的项目类型；根据所述第一项目的项目类型，从所述第一项目对应的代码文件中获取待检测文件，并对所述待检测文件进行检测，确定所述第一项目使用的控件；

使用所述至少一个项目的标识和所述至少一个项目使用的控件生成所述预设数据库。

可选地，所述处理模块302具体用于：

若确定所述第一项目是使用第一预设工具构建得到的，则从所述第一项目对应的代码文件的pom.xml数据包中获取properties标签、dependencies标签和/或plugins标签分别对应的内容；或者，

若确定所述第一项目不是使用所述第一预设工具构建得到的，则获取所述第一项目使用的编程语言；若所述第一项目使用的编程语言为java语言，则获取所述代码文件的jar数据包文件，或者，若所述第一项目使用的编程语言为Javescript类型，则获取所述代码文件的package.json数据包文件和/或package-lock.json数据包文件，或者，若所述第一项目使用的编程语言为python类型，则获取所述代码文件的头文件。

可选地，所述处理模块302还用于：

若所述预设数据库中不存在使用所述第一漏洞控件的目标项目，则确定当前处于运行状态的一个或多个项目，并根据所述一个或多个项目的标识，获取所述一个或多个项目的项目地址；

根据所述一个或多个项目的项目地址，调用应用程序编程API接口获取所述一个或多个项目分别对应的一个或多个待检测文件，并对所述一个或多个待检测文件进行代码检测，确定所述一个或多个项目使用的控件；

若所述一个或多个项目中存在使用所述第一漏洞控件的第二目标项目，则将所述第二目标项目显示给用户。

从上述内容可以看出：本发明的上述实施例中，接收到用户触发的漏洞检测指令后，获取预设漏洞库中存储的至少一个漏洞控件的标识，进而针对于所述至少一个漏洞控件中的第一漏洞控件，若确定预设数据库中存在使用所述第一漏洞控件的第一目标项目，则将所述第一目标项目显示给所述用户；所述预设数据库为对至少一个项目执行代码检测到的，所述预设数据库中存储有所述至少一个项目的标识和所述至少一个项目使用的控件。本发明实施例中，由于项目的代码是执行项目的基本单元，因此，通过对项目进行代码检测获取项目使用的控件，可以保证获取到的控件为项目执行过程中所使用的最新控件，如此，基于项目所使用的最新控件进行漏洞检测可以提高检测得到的项目漏洞的准确性；且，通过将项目对应的代码检测的结果存储在预设数据库中，可以通过预设数据库即可获取到项目使用的控件，而无需对项目重新进行代码检测，从而可以提高项目漏洞的检测效率，进而提高修复项目漏洞的效率。

基于同一发明构思，本发明实施例提供了一种计算机设备，如图4所示，包括：存储器401、处理器402及存储在存储器401上并可在处理器402上运行的计算机程序，所述处理器402执行所述程序时实现上述漏洞检测方法的步骤。

基于同一发明构思，本发明实施例还提供一种计算机可读存储介质，包括指令，当其在计算机设备的处理器上运行时，使得计算机设备的处理器执行上述漏洞检测方法的步骤。

基于同一发明构思，本发明实施例还提供一种计算机程序产品，当其在计算机设备上运行时，使得计算机设备执行上述漏洞检测方法的步骤。

本领域内的技术人员应明白，本发明的实施例可提供为方法、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

一种漏洞检测方法，其特征在于，所述方法包括：

接收到用户触发的漏洞检测指令后，获取预设漏洞库中存储的至少一个漏洞控件的标识；

针对于所述至少一个漏洞控件中的第一漏洞控件，若确定预设数据库中存在使用所述第一漏洞控件的第一目标项目，则将所述第一目标项目显示给所述用户；所述预设数据库为对至少一个项目执行代码检测到的，所述预设数据库中存储有所述至少一个项目的标识和所述至少一个项目使用的控件。
根据权利要求1所述的方法，其特征在于，所述至少一个项目使用的控件包括所述至少一个项目使用的框架、第三方组件和服务中的任意一项或任意多项；所述至少一个项目使用的第三方组件为所述至少一个项目使用的依赖库和/或插件。
根据权利要求1所述的方法，其特征在于，所述预设数据库为对至少一个项目执行代码检测到的，包括：

根据所述至少一个项目的标识，获取所述至少一个项目分别对应的代码文件；

针对于所述至少一个项目中的第一项目，根据所述第一项目对应的代码文件的后缀名确定所述第一项目使用的编程语言，并根据所述第一项目对应的代码文件的目录结构和/或所述第一项目使用的编程语言确定所述第一项目的项目类型；根据所述第一项目的项目类型，从所述第一项目对应的代码文件中获取待检测文件，并对所述待检测文件进行检测，确定所述第一项目使用的控件；

使用所述至少一个项目的标识和所述至少一个项目使用的控件生成所述预设数据库。
根据权利要求3所述的方法，其特征在于，所述根据所述第一项目的项目类型，从所述第一项目对应的代码文件中获取待检测文件，包括：

若确定所述第一项目是使用第一预设工具构建得到的，则从所述第一项目对应的代码文件的pom.xml数据包中获取properties标签、dependencies标签和/或plugins标签分别对应的内容；或者，

若确定所述第一项目不是使用所述第一预设工具构建得到的，则获取所述第一项目使用的编程语言；若所述第一项目使用的编程语言为java语言，则获取所述代码文件的jar数据包文件，或者，若所述第一项目使用的编程语言为Javescript类型，则获取所述代码文件的package.json数据包文件和/或package-lock.json数据包文件，或者，若所述第一项目使用的编程语言为python类型，则获取所述代码文件的头文件。
根据权利要求1至4中任一项所述的方法，其特征在于，所述方法还包括：

若所述预设数据库中不存在使用所述第一漏洞控件的目标项目，则确定当前处于运行状态的一个或多个项目，并根据所述一个或多个项目的标识，获取所述一个或多个项目的项目地址；

根据所述一个或多个项目的项目地址，调用应用程序编程API接口获取所述一个或多个项目分别对应的一个或多个待检测文件，并对所述一个或多个待检测文件进行代码检测，确定所述一个或多个项目使用的控件；

若所述一个或多个项目中存在使用所述第一漏洞控件的第二目标项目，则将所述第二目标项目显示给用户。
一种漏洞检测装置，其特征在于，所述装置包括：

收发模块，用于接收到用户触发的漏洞检测指令后，获取预设漏洞库中存储的至少一个漏洞控件的标识；

处理模块，用于针对于所述至少一个漏洞控件中的第一漏洞控件，若确定预设数据库中存在使用所述第一漏洞控件的第一目标项目，则将所述第一目标项目显示给所述用户；所述预设数据库为对至少一个项目执行代码检测到的，所述预设数据库中存储有所述至少一个项目的标识和所述至少一个项目使用的控件。
根据权利要求6所述的装置，其特征在于，所述至少一个项目使用的控件包括所述至少一个项目使用的框架、第三方组件和服务中的任意一项或任意多项；所述至少一个项目使用的第三方组件为所述至少一个项目使用的依赖库和/或插件。
根据权利要求6所述的装置，其特征在于，所述处理模块还用于：

根据所述至少一个项目的标识，获取所述至少一个项目分别对应的代码文件；

针对于所述至少一个项目中的第一项目，根据所述第一项目对应的代码文件的后缀名确定所述第一项目使用的编程语言，并根据所述第一项目对应的代码文件的目录结构和/或所述第一项目使用的编程语言确定所述第一项目的项目类型；根据所述第一项目的项目类型，从所述第一项目对应的代码文件中获取待检测文件，并对所述待检测文件进行检测，确定所述第一项目使用的控件；

使用所述至少一个项目的标识和所述至少一个项目使用的控件生成所述预设数据库。
根据权利要求8所述的装置，其特征在于，所述处理模块具体用于：

若确定所述第一项目是使用第一预设工具构建得到的，则从所述第一项目对应的代码文件的pom.xml数据包中获取properties标签、dependencies标签和/或plugins标签分别对应的内容；或者，

若确定所述第一项目不是使用所述第一预设工具构建得到的，则获取所述第一项目使用的编程语言；若所述第一项目使用的编程语言为java语言，则获取所述代码文件的jar数据包文件，或者，若所述第一项目使用的编程语言为Javescript类型，则获取所述代码文件的package.json数据包文件和/或package-lock.json数据包文件，或者，若所述第一项目使用的编程语言为python类型，则获取所述代码文件的头文件。
根据权利要求6至9中任一项所述的装置，其特征在于，所述处理模块还用于：

若所述预设数据库中不存在使用所述第一漏洞控件的目标项目，则确定当前处于运行状态的一个或多个项目，并根据所述一个或多个项目的标识，获取所述一个或多个项目的项目地址；

根据所述一个或多个项目的项目地址，调用应用程序编程API接口获取所述一个或多个项目分别对应的一个或多个待检测文件，并对所述一个或多个待检测文件进行代码检测，确定所述一个或多个项目使用的控件；

若所述一个或多个项目中存在使用所述第一漏洞控件的第二目标项目，则将所述第二目标项目显示给用户。
一种计算机可读存储介质，其特征在于，包括指令，当其在计算机设备的处理器上运行时，使得计算机设备的处理器执行如权利要求1至5任一项所述方法的步骤。
一种计算机程序产品，其特征在于，当其在计算机设备上运行时，使得计算机设备执行如权利要求1至5任一项所述方法的步骤。
一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现权利要求1至5任一权利要求所述方法的步骤。