[发明专利]JAVA开源组件的漏洞检测方法、装置及存储介质

权利要求书

1.一种JAVA开源组件的漏洞检测方法，其特征在于，包括如下步骤：

生成包括所有JAVA开源组件的漏洞数据的漏洞数据库；

获取待检测JAVA开源组件的相关信息；

对所述待检测JAVA开源组件的相关信息与漏洞数据库中的每一条漏洞数据进行匹配；

若匹配成功，则获取所述待检测JAVA开源组件的漏洞数据；

其中，所述生成包括所有JAVA开源组件的漏洞数据的漏洞数据库包括：

获取所有涉及CVE信息的网站中与所述CVE信息相对应的CPE信息；

根据所述CPE信息及CVE信息生成CPE数据库并实时更新；所述CPE数据库中的任一条CPE信息至少包括与该CPE信息相对应的CVE信息及与该CVE信息相对应的厂商、产品名称及版本号；

获取所有JAVA开源组件的相关信息；所述所有JAVA开源组件的相关信息至少包括分别与每一JAVA开源组件相关的厂商、产品名称及版本号；

对所述所有JAVA开源组件的相关信息分别与CPE数据库中的每一条CPE信息进行匹配；

根据所述CPE数据库中匹配成功的CPE信息及与CPE信息相对应的CVE信息生成漏洞数据库；

其中，所述对所述所有JAVA开源组件的相关信息分别与CPE数据库中的每一条CPE信息进行匹配包括：

对所述所有JAVA开源组件的配置文件和/或项目结构进行分析后，对所得到的分别与每一所述JAVA开源组件相关的厂商、产品名称及版本号定义优先级；

判断分别与每一所述JAVA开源组件相关的厂商、产品名称及版本号的每种优先级是否均只包括一个厂商或产品名称或版本号，若是，则将分别与每一所述JAVA开源组件相关的厂商、产品名称及版本号按照优先级别由高至低依次与CPE数据库中的每一条CPE信息进行匹配，直至匹配成功为止。

2.如权利要求1所述的JAVA开源组件的漏洞检测方法，其特征在于，所述待检测JAVA开源组件的相关信息至少包括待检测JAVA开源组件的哈希码，所述漏洞数据库中的任一条漏洞数据至少包括该条漏洞数据所对应的JAVA开源组件的哈希码、CVE信息，且所述对所述待检测JAVA开源组件的相关信息与漏洞数据库中的每一条漏洞数据进行匹配包括：

判断所述漏洞数据库中是否存在待检测JAVA开源组件的哈希码，若存在，则直接获取所述漏洞数据库中与待检测JAVA开源组件的哈希码相对应的CVE信息；

若不存在，则对所述待检测JAVA开源组件的相关信息与CPE数据库中的每一条CPE信息进行匹配；

将所述CPE数据库中匹配成功的CPE信息及与CPE信息相对应的CVE信息存储至漏洞数据库。

3.如权利要求1所述的JAVA开源组件的漏洞检测方法，其特征在于，所述获取所有JAVA开源组件的相关信息包括：

分别对所述所有JAVA开源组件的配置文件进行分析，得到分别与每一所述JAVA开源组件相关的厂商、产品名称及版本号，所述配置文件包括manifest.mf文件、pom.xml文件、build.gradle文件及build.xml文件；

分别对所述所有JAVA开源组件的项目结构进行分析，得到分别与每一所述JAVA开源组件相关的厂商、产品名称及版本号，所述项目结构包括组成每一所述JAVA开源组件的组件包的名称及组成每一JAVA开源组件的项目的多层结构。

4.如权利要求1所述的JAVA开源组件的漏洞检测方法，其特征在于，所述对所述所有JAVA开源组件的相关信息分别与CPE数据库中的每一条CPE信息进行匹配还包括：

若否，则将分别与每一所述JAVA开源组件相关的厂商、产品名称及版本号的每种优先级所对应的厂商或产品名称或版本号，进行同种优先级内的混合组合后，再与所述CPE数据库中的每一条CPE信息进行匹配，直至分别与每一所述JAVA开源组件相关的厂商、产品名称及版本号的每种优先级所对应的厂商或产品名称或版本号全部组合完成为止。