[发明专利]一种软件供应链安全分析方法及装置

权利要求书

1.一种软件供应链安全分析方法，其特征在于，包括：

获取已知存在漏洞的组件；所述组件指软件所依赖的功能模块，且所述组件包括静态链接的代码模块、动态加载的共享库、释放的库文件和释放的可执行程序中的一种或多种；

根据所述组件和预先构建的软件依赖性关系图，从所述软件依赖性关系图中寻找与所述组件存在依赖关系的软件，将寻找得到的软件确定为存在安全问题的软件；

其中，所述软件依赖性关系图中包含有各组件和各软件之间的依赖关系，且所述软件依赖性关系图的构建过程包括：在宿主机操作系统层运行用纯软件形式模拟物理硬件的程序以实现虚拟硬件层，在所述虚拟硬件层上安装虚拟操作系统以将各软件通过沙箱的虚拟操作系统层运行；对运行在沙箱的虚拟操作系统层中的各软件进行动态分析，获取所述各软件分别依赖的组件；根据所述各软件分别依赖的组件，自动化构建所述软件依赖性关系图。

2.根据权利要求1所述的软件供应链安全分析方法，其特征在于，所述组件包括静态链接的代码模块、动态加载的共享库、释放的库文件和释放的可执行程序中的一种或多种。

3.根据权利要求2所述的软件供应链安全分析方法，其特征在于，所述对运行在沙箱中的各软件进行动态分析，获取所述各软件分别依赖的组件，具体包括：

监控运行在沙箱中的各软件在动态运行过程中加载的共享库、释放的库文件、释放的可执行程序，以及，运行的代码模块，同时对所述各软件的子进程进行迭代监控分析，以获取所述各软件分别依赖的组件。

4.根据权利要求3所述的软件供应链安全分析方法，其特征在于，所述监控运行在沙箱中的各软件在动态运行过程中加载的共享库、释放的库文件、释放的可执行程序，以及，运行的代码模块，具体包括：

通过监控底层系统调用获取各软件在动态运行过程中加载的共享库、释放的库文件和可执行程序；

通过监控预设代码运行指令获取各软件在动态运行过程中运行的代码模块。

5.根据权利要求4所述的软件供应链安全分析方法，其特征在于，所述通过监控预设代码运行指令获取各软件在动态运行过程中运行的代码模块，具体包括：

通过监控预设代码运行指令获取各软件在动态运行过程中由预设代码运行指令组成的基本块，并通过代码切片和函数识别的方式，将基本块整合成函数级或功能级的代码片段，其中，所述代码片段就是所述代码模块。

6.根据权利要求1所述的软件供应链安全分析方法，其特征在于，所述软件供应链安全分析方法还包括：

获取待进行安全分析的目标软件；

将所述目标软件放置在沙箱中运行，对所述目标软件的动态运行过程进行分析，获取所述目标软件依赖的所有组件；

判断所述所有组件中是否包含有已知存在漏洞的组件，若是，则确定所述目标软件为存在安全问题的软件。

7.一种软件供应链安全分析装置，其特征在于，包括：

第一获取模块，用于获取已知存在漏洞的组件；所述组件指软件所依赖的功能模块，且所述组件包括静态链接的代码模块、动态加载的共享库、释放的库文件和释放的可执行程序中的一种或多种；

确定模块，用于根据所述组件和预先构建的软件依赖性关系图，从所述软件依赖性关系图中寻找与所述组件存在依赖关系的软件，将寻找得到的软件确定为存在安全问题的软件；其中，所述软件依赖性关系图中包含有各组件和各软件之间的依赖关系，且所述软件依赖性关系图的构建过程包括：在宿主机操作系统层运行用纯软件形式模拟物理硬件的程序以实现虚拟硬件层，在所述虚拟硬件层上安装虚拟操作系统以将各软件通过沙箱的虚拟操作系统层运行；对运行在沙箱的虚拟操作系统层中的各软件进行动态分析，获取所述各软件分别依赖的组件；根据所述各软件分别依赖的组件，自动化构建所述软件依赖性关系图。

8.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至6任一项所述软件供应链安全分析方法的步骤。

9.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1至6任一项所述软件供应链安全分析方法的步骤。