[发明专利]基于大数据的软件第三方组件漏洞应急响应系统及方法

说明书

本发明公开了一种基于大数据的软件第三方组件漏洞应急响应系统及方法，所述应急响应系统包括组件信息收集模块和组件识别认证模块；组件信息收集模块用于收集数据并得到包含组件特征索引和组件漏洞索引的组件数据库；组件识别认证模块用于对软件产品代码文本和运行特征进行分析，并将分析结果依次与组件特征索引和组件漏洞索引对比，获得软件产品版本集成组件的漏洞情况。本发明通过大数据自动化抓取的方式持续获取组件特征信息数据和漏洞数据，可对开源组件、商业组件、免费组件等一系列公开组件做组件识别认证、漏洞跟踪识别和漏洞应急响应；可用于软件生产流程中的持续集成和持续交付环节。

技术领域

本发明属于计算机技术领域，具体涉及一种基于大数据的软件第三方组件漏洞应急响应系统及方法。

背景技术

目前在软件的生命周期中，针对软件中使用的第三方组件，其安全漏洞的应急响应技术存在如下缺陷：

组件分析来源单一：仅针对开源组件或仅针对商业组件；

组件分析手段单一：仅对组件文本进行比对或仅对组件运行环境特征进行比对；

没有形成可供软件生产企业使用的系统级的第三方组件漏洞应急响应解决方案；

没有与软件开发流程中的持续集成和持续交付环节对接；

组件特征和漏洞数据信息仅靠人工方式获取，没有基于大数据自动化抓取的方式从公开来源持续获取。

发明内容

本发明所要解决的技术问题是针对上述现有技术的不足，提供基于大数据的软件第三方组件漏洞应急响应系统及方法，通过信息收集和自动识别认证，持续发现集成在软件中的组件漏洞。

为实现上述技术目的，本发明采用如下技术方案：

本申请实施例提出一种基于大数据的软件第三方组件漏洞应急响应系统，包括组件信息收集模块和组件识别认证模块；

所述组件信息收集模块，用于搜索数据，获取组件特征索引和组件漏洞索引，存储在组件数据库中。

所述组件识别认证模块，用于对软件产品代码文本和运行特征进行分析，得到组件使用信息；

所述组件识别认证模块，还用于将所述组件使用信息与所述组件特征索引作比对，得到实际组件使用列表；将所述组件使用信息与所述组件漏洞索引作比对，得到产品版本集成组件的漏洞列表，即表示组件具体实现上存在的缺陷。

优选地，所述组件信息收集模块包括实时漏洞信息抓取单元、组件漏洞信息分析单元、第一组件信息抓取单元和第一特征分析提取单元；

所述实时漏洞信息抓取单元通过网络接口收集组件漏洞数据；

所述组件漏洞信息分析单元分析所述组件漏洞数据，得到组件漏洞信息；

所述组件漏洞信息构成组件漏洞索引并存入组件数据库；

所述第一组件信息抓取单元通过第一数据接口获取组件代码文本和组件运行信息；

所述第一特征分析提取单元基于组件代码文本和组件运行信息，提取组件代码文本特征和组件运行特征；

所述组件代码文本特征和组件运行特征构成组件特征索引并存入组件数据库。

优选地，所述组件识别认证模块包括第二组件信息抓取单元、第二特征分析提取单元和组件特征对比单元；

所述第二组件信息抓取单元通过第二数据接口获取组件代码文本和组件运行信息；

所述第二特征分析提取单元基于组件代码文本和组件运行信息，通过组件运行信息提取工具提取组件使用信息，包含组件代码文本特征信息和组件运行特征；