[发明专利]基于SCA工具的数据库维护方法、装置及可读存储介质

权利要求书

1.一种基于SCA工具的数据库维护方法，其特征在于，所述方法应用于企业内部私有库的数据维护，所述私有库包括企业内部应用程序开发所用的开源组件，所述开源组件包括一类开源组件和二类开源组件，所述一类开源组件为从云服务下载至私有库的开源组件，所述二类开源组件为企业内部应用上传至私有库的开源组件，所述SCA工具包括开源组件的版本信息库、漏洞信息库及许可信息库，所述版本信息库包括指纹信息，所述版本信息库内的指纹信息对应于漏洞信息库中的漏洞信息及许可信息库中的许可信息，所述方法包括：

获取所述一类开源组件的信息；

基于SCA工具，对所述一类开源组件的信息进行检测，若对所述一类开源组件的信息的检测结果为安全，则将所述一类开源组件的信息维护至私有库；

获取所述二类开源组件的信息；

基于SCA工具，对所述二类开源组件的信息进行分析，若对所述二类开源组件的信息的分析结果为安全，则将所述二类开源组件的信息维护至私有库；

其中，所述二类开源组件的信息包括二类开源组件的源码片段指纹信息和第三方开源组件的依赖配置信息，所述SCA工具还包括开源组件的源码指纹信息库，所述基于SCA工具，对所述二类开源组件的信息进行分析，具体包括：

匹配所述二类开源组件的源码片段指纹信息和源码指纹信息库；

若匹配结果一致，则得到三类开源组件，所述三类开源组件为二类开源组件的源码所拷贝的开源组件；

获取所述三类开源组件的版本信息，并基于所述版本信息库与漏洞信息库及许可信息库的对应关系，判断所述三类开源组件是否存在漏洞和/或具有安全风险的许可；

分析所述第三方开源组件的依赖配置信息，得到四类开源组件，所述四类开源组件为二类开源组件所引用的直接依赖或间接依赖的开源组件；

获取所述四类开源组件的版本信息，并基于所述版本信息库与漏洞信息库及许可信息库的对应关系，判断所述四类开源组件是否存在漏洞和/或具有安全风险的许可；

其中，若所述三类开源组件和四类开源组件均不存在漏洞和/或具有安全风险的许可，则对所述二类开源组件的信息的分析结果为安全。

2.如权利要求1所述的基于SCA工具的数据库维护方法，其特征在于，所述一类开源组件的信息包括一类开源组件的版本信息，所述基于SCA工具，对所述一类开源组件的信息进行检测，具体包括：

匹配所述一类开源组件的版本信息和版本信息库；

若匹配结果一致，则基于所述版本信息库与漏洞信息库及许可信息库的对应关系，判断所述一类开源组件是否存在漏洞和/或具有安全风险的许可；

若匹配结果不一致，则获取所述一类开源组件的漏洞信息和许可信息，并将所述一类开源组件的版本信息、漏洞信息及许可信息对应存储至版本信息库、漏洞信息库及许可信息库；

基于所述版本信息库与漏洞信息库及许可信息库的对应关系，判断所述一类开源组件是否存在漏洞和/或具有安全风险的许可；

其中，若所述一类开源组件不存在漏洞和/或具有安全风险的许可，则对所述一类开源组件的信息的检测结果为安全。

3.如权利要求2所述的基于SCA工具的数据库维护方法，其特征在于，若所述一类开源组件存在漏洞和/或具有安全风险的许可，则对所述一类开源组件的信息的检测结果为危险，所述SCA工具还包括预警中心，所述若对所述一类开源组件的信息的检测结果为安全，则将所述一类开源组件的信息维护至私有库，还包括：

若对所述一类开源组件的信息的检测结果为危险，则将所述一类开源组件的信息发送至预警中心进行预警。

4.如权利要求3所述的基于SCA工具的数据库维护方法，其特征在于，所述基于SCA工具，对所述一类开源组件的信息进行检测，还包括：

若未获取到所述一类开源组件的漏洞信息和许可信息，则将所述一类开源组件的版本信息发送至预警中心进行预警。