[发明专利]现代应用程序的连续漏洞管理

说明书

提供对现代应用程序进行连续漏洞管理的设备、方法和系统。可以创建依赖关系树，将第三方库映射到软件包的应用程序中使用的微服务。可以在新的库版本的发行说明和变更日志上使用自然语言处理，以生成受常见漏洞和暴露(“CVE”)扰乱的库列表。可以对受扰乱库进行来自应用程序编程接口(“API”)的多个代码调用。可以对每个受扰乱库列举包括CVE的多个代码调用。可以基于包括CVE的所述多个代码调用为所述API分配风险评分。可以将所述风险评分与阈值进行比较，以引起补救措施的发生，包括将库更新到较新版本以解决CVE问题或生成有关所述受扰乱库的报告。

背景技术

应用程序服务、微服务和软件包及其API实施方案可以使用许多开源库或第三方库。微服务对其库的功能依赖可能导致现有代码易受新漏洞影响，即使在微服务代码依赖关系保持不变时也是如此。由于与现有库更新的API交互，微服务可能会暴露于之前未知的漏洞。或者，在库更新时微服务可能保持不变，同样形成了将微服务暴露于漏洞的可能性。此外，一些库可能对后续库具有多个依赖关系，从而形成依赖关系树。微服务可能依赖大量功能库，因此产生了更多对API恶意攻击(黑客、未授权使用等)的机会。

通常，开源库中的漏洞会公开报告。根据公开的性质，易受攻击的库可能会成为恶意攻击的主要目标。通常，手动执行API内或微服务实施方案内相关于其依赖关系的漏洞分析和解决，因为很难以自动方式正确地执行此类操作。对API或微服务的每次更新的手动检查都可能耗时且耗尽资源。需要快速标识并解决API内由其对很可能被黑客定为目标的库的依赖引起的任何漏洞的解决方案。

发明内容

实施例提供设备、方法和系统，为现代应用程序的连续和自动漏洞管理提供更强大且更准确的解决方案。根据一些实施例，一种计算机系统可以执行用于保护软件包中的漏洞的方法。所述方法可以包括接收对应于软件包使用的第三方软件的库集合。可以确定来自库集合的受扰乱库列表，其中所述受扰乱库列表中的每个库都受到漏洞的影响。可以确定软件包的应用程序所依赖的来自受扰乱库列表的一个或多个受扰乱库，其中所述应用程序执行来自一个或多个受扰乱库的代码，并且其中所述应用程序调用一个或多个受扰乱库。可以针对一个或多个受扰乱库中的每个库标识包括漏洞的多个代码调用。代码调用可以由软件包的应用程序的应用程序编程接口(“API”)来进行，并且其中针对一个或多个受扰乱库中的每个库内的代码进行代码调用。可以基于多个代码调用为API分配风险评分。可以将API的风险评分与阈值风险值进行比较。响应于风险评分超出阈值风险值，可以针对API调用的每个受扰乱库采取补救措施。

各种实施例可以包括一种非瞬态计算机可读介质，其包括指令，所述指令可由处理装置执行以使所述处理装置通过通信端口接收对应于软件包使用的第三方软件的库集合。可以确定来自库集合的受扰乱库列表，其中所述受扰乱库列表中的每个库都受到漏洞的影响。可以确定软件包的应用程序所依赖的来自受扰乱库列表的一个或多个受扰乱库，其中所述应用程序执行来自一个或多个受扰乱库的代码，并且其中所述应用程序调用一个或多个受扰乱库。可以针对一个或多个受扰乱库中的每个库标识包括漏洞的多个代码调用。代码调用可以由软件包的应用程序的应用程序编程接口(“API”)来进行，并且其中针对一个或多个受扰乱库中的每个库内的代码进行代码调用。可以基于多个代码调用为API分配风险评分。可以将API的风险评分与阈值风险值进行比较。响应于风险评分超出阈值风险值，可以针对API调用的每个受扰乱库采取补救措施。