[发明专利]开源软件安全漏洞处理方法和装置

说明书

本发明提供一种开源软件安全漏洞处理方法和装置，该方法包括：扫描待测工程源码获取其引用的开源软件清单；获取开源软件漏洞数据；根据该漏洞数据以及该开源软件清单进行漏洞预警，能够在软件研发及后续运维过程中，自动对涉及开源软件的安全漏洞做及时预警及升级，及早规避风险，提高安全性能。

技术领域

本发明涉及计算机技术领域，尤其涉及一种开源软件安全漏洞处理方法和装置。

背景技术

软件安全漏洞指的是在软件功能、性能方面具体实现以及安全策略上的缺陷。攻击者利用安全漏洞，可以在未授权的情况下访问软件系统、读取业务数据甚至破坏软件正常运行，造成重大损失。

随着业务架构的日趋复杂、开源社区的发展以及各种技术框架的引入，软件研发过程中对开源软件的使用量大幅增加，相应地，由开源软件引入的安全漏洞也频繁出现。由于开源软件的通用性，使得攻击者利用开源漏洞的成本也在降低，安全形势日趋严峻。

发明内容

针对现有技术中的问题，本发明提供一种开源软件安全漏洞处理方法和装置、电子设备以及计算机可读存储介质，能够至少部分地解决现有技术中存在的问题。

为了实现上述目的，本发明采用如下技术方案：

第一方面，提供一种开源软件安全漏洞处理方法，包括：

扫描待测工程源码获取其引用的开源软件清单；

获取开源软件漏洞数据；

根据该漏洞数据以及该开源软件清单进行漏洞预警。

进一步地，开源软件安全漏洞处理方法还包括：

获取有安全漏洞的开源软件的更新版本；

根据该更新版本更新该待测工程源码中引用的开源软件。

进一步地，该开源软件清单包括：直接引用的开源软件的清单以及间接引用的开源软件清单；

该扫描待测工程源码获取其引用的开源软件清单，包括：

扫描该待测工程源码获取直接引用的开源软件的清单；

从开源软件登记网站检索直接引用的开源软件运行依赖的其他开源软件清单，作为间接引用的开源软件清单。

进一步地，该获取开源软件漏洞数据，包括：

扫描开源漏洞库增量采集新增的开源软件漏洞信息；

采用自然语言处理技术从该开源软件漏洞数据中提取该开源软件漏洞数据。

第二方面，提供一种开源软件安全漏洞处理装置，包括：

扫描模块，扫描待测工程源码获取其引用的开源软件清单；

漏洞数据获取模块，获取开源软件漏洞数据；

漏洞预警模块，根据该漏洞数据以及该开源软件清单进行漏洞预警。

进一步地，开源软件安全漏洞处理装置还包括：

更新版本获取模块，获取有安全漏洞的开源软件的更新版本；

软件更新模块，根据该更新版本更新该待测工程源码中引用的开源软件。

进一步地，该开源软件清单包括：直接引用的开源软件的清单以及间接引用的开源软件清单；

该扫描模块包括：

直接引用扫描单元，扫描该待测工程源码获取直接引用的开源软件的清单；

间接引用扫描单元，从开源软件登记网站检索直接引用的开源软件运行依赖的其他开源软件清单，作为间接引用的开源软件清单。