[发明专利]第三方组件的安全检测方法、系统、设备及可读存储介质

说明书

本发明公开了一种第三方组件的安全检测方法、系统、设备及可读存储介质，安全检测方法为面向发布平台的安全检测方法，发布平台包括有待发布项目，待发布项目引用有第三方jar组件，安全检测方法包括：部署检测引擎，检测引擎关联有预设的检测逻辑库及安全漏洞信息；在待发布的项目中设置接口，接口用于对接所述检测引擎；通过检测引擎检测待发布项目引用的所有第三方jar组件，并根据检测逻辑库检索第三方jar组件中的安全漏洞信息。本发明通过将对待发布的项目与所述检测引擎对接，从而使得在发布平台中就能实现对待发布项目引用的所有第三方组件进行集成检测，从而可以及时发现待发布项目的潜在风险，保障了项目的安全性。

技术领域

本发明涉及信息安全检测领域，特别涉及一种第三方组件的安全检测方法、系统、设备及可读存储介质。

背景技术

随着互联网的不断发展以及java(一种计算机编程语音)开发的明显优势，越来越多的公司在开发项目中，选用java作为主体开发语言。

在java开发中，为了提升效率和开发便捷度，减少重复开发，很多程序员经常会引用到第三方jar(一种第三方组件)组件依赖包。目前，存在开源的产品，即在该开源的产品中对单一的jar进行检测，一般的公司也没有开展或者重视jar检测，进而导致这些java项目的安全性存在很多未知性，也缺少了项目整体安全性的有效评估。

发明内容

本发明要解决的技术问题是为了克服现有技术中第三方组件的安全性存在未知性、进而导致整体项目安全性得不到保证的缺陷，提供一种集中式、准确度高且高速的第三方组件的安全检测方法、系统、设备及可读存储介质。

本发明是通过下述技术方案来解决上述技术问题：

本发明提供了一种第三方组件的安全检测方法，所述安全检测方法为面向发布平台的安全检测方法，所述发布平台包括有待发布项目，所述待发布项目引用有第三方jar组件，所述安全检测方法包括：

部署检测引擎，所述检测引擎关联有预设的检测逻辑库及安全漏洞信息；

在所述待发布的项目中设置接口，所述接口用于对接所述检测引擎；

通过所述检测引擎检测所述待发布项目引用的所有所述第三方jar组件，并根据所述检测逻辑库检索所述第三方jar组件中的所述安全漏洞信息。

本发明通过将对待发布的项目与所述检测引擎对接，从而使得在发布平台中就能实现对待发布项目引用的所有第三方组件进行集成检测，从而可以及时发现待发布项目的潜在风险，保障了项目的安全性。

本发明中，安全检测的覆盖面广，针对发布平台的所有java项目进行集中式安全检测，确保公司的所有java项目上线的安全性。

本发明中，安全检测的速度快，通过将检测引擎进行分布式部署，对大量的发布项目进行并行检测，极大地加快了检测速度。整个检测过程用时较短，并没有影响延迟正常发布流程。

较佳地，所述待发布的项目包括待发布的java项目；

通过所述检测引擎检测所述待发布项目引用的所有所述第三方jar组件的步骤包括：

编译所述待发布项目以生成war(一种第三方组件)包，所述war包包括对所有所述第三方jar组件的依赖库信息，所述依赖库信息包括所述待发布项目中所有的对所述第三方jar组件的引用关系；

根据所述依赖库信息检测所述第三方jar组件。

本发明中，将java项目编译程war包，并将war包通过接口传给检测引擎从而可以进行快速的安全检测。

较佳地，所述检测逻辑库包含多层判断逻辑；

所述安全检测方法还包括步骤：优化所述检测逻辑库；