[发明专利]现代应用程序的连续漏洞管理

权利要求书

1.一种用于保护软件包中的漏洞的方法，所述方法包括由计算机系统执行以下操作：

接收对应于所述软件包使用的第三方软件的库集合；

确定来自所述库集合的受扰乱库列表，其中所述受扰乱库列表中的每个库都受到漏洞的影响；

确定所述软件包的应用程序所依赖的来自所述受扰乱库列表的一个或多个受扰乱库，其中所述应用程序执行来自所述一个或多个受扰乱库的代码，并且其中所述应用程序调用所述一个或多个受扰乱库；

针对所述一个或多个受扰乱库中的每个库标识包括所述漏洞的多个代码调用，其中代码调用由所述软件包的所述应用程序的应用程序编程接口(API)来进行，并且其中针对所述一个或多个受扰乱库中的每个库内的代码进行所述代码调用；

基于多个代码调用为所述API分配风险评分；

将所述API的所述风险评分与阈值风险值进行比较；以及

响应于所述风险评分超出所述阈值风险值，针对所述API调用的每个受扰乱库引起补救措施。

2.根据权利要求1所述的方法，其进一步包括：

在所述计算机系统的数据库中存储所述库集合内的每个库的统一资源标识符(“URI”)；

使用由所述计算机系统实施的网络爬虫，基于每个库的所述URI，在公共域中搜索所述受扰乱库列表中的每个库的较新版本；以及

在所述数据库中存储与所述较新版本相关联的发行说明和变更日志。

3.根据权利要求1所述的方法，其进一步包括：

使用所述计算系统的自然语言处理器引擎分析发行说明和变更日志，以从所述受扰乱库列表中确定一个或多个可修复库，其中可修复库的较新版本消除或减少了所述漏洞在所述可修复库的当前版本中的影响，

其中所述补救措施包括将所述可修复库的所述当前版本更新为所述可修复库的所述较新版本。

4.根据权利要求1所述的方法，其进一步包括：

使用所述计算机系统的代码区分工具，针对所述一个或多个受扰乱库中的每个库，将库的较新版本的代码与所述库的当前版本的代码进行比较；以及

响应于所述代码区分工具的所述比较，确定所述较新版本不与所述当前版本向后兼容。

5.根据权利要求4所述的方法，其进一步包括：

生成报告，所述报告包括所述受扰乱库列表、所述API的所述风险评分，以及所述较新版本不向后兼容的通知；以及

将所述报告传输到由实施所述应用程序的用户操作的一个或多个用户装置。

6.根据权利要求1所述的方法，其中分配风险评分包括确定来自所述一个或多个受扰乱库的每个库相对于所述应用程序的依赖关系，其中针对直接依赖关系的风险评分与针对过渡依赖关系的风险评分的分配不同。

7.根据权利要求1所述的方法，其中较高风险评分指示发生安全缺口的几率较高，而较低风险评分指示发生安全缺口的几率较低。

8.一种计算机程序，其包括指令，所述指令在由处理装置执行时使所述处理装置执行如权利要求1-7中任一项所述的方法。

9.一种系统，其包括：

处理装置，

通信端口，以及

非瞬态计算机可读介质，其包括指令，所述指令可由所述处理装置执行以执行权利要求1-7中任一项所述的方法。