[发明专利]适用于开源组件的安全与合规治理方法

权利要求书

1.适用于开源组件的安全与合规治理方法，其特征在于包括以下步骤：

步骤一，对知识库进行构建，扫描依赖配置文件，形成组件成分清单，建立组件关系树，

步骤二，查找到有漏洞的依赖组件进行分析，

步骤三，提供漏洞的修复方案及组件的动态修复方案；

所述知识库包括，漏洞知识库、依赖组件知识库及关联知识库，知识库的构成过程通过漏洞与依赖信息的采集、数据的清洗与关联、知识库的持续更新模块完成，

所述数据的清洗与关联的过程为，对收集到的漏洞信息先进行清洗去重，再根据统一数据格式存入漏洞库，最后进行关联整合深层去重形成最终的漏洞知识库；

对于爬取到的漏洞信息，先通过去重算法清洗冗余和错误的数据，对于数据流中可能的重复数据，HsDedup首先利用布隆过滤器对数据块的重复性进行预判，接下来根据不同的条件分别对缓存区的热区及冷区及磁盘进行三级重复数据的检测；

清洗后的数据会建立统一、标准的数据格式存入漏洞库，对漏洞的基本信息、依赖信息、文件信息、路径信息、函数信息及具体行数信息进行关联整合，若有多条数据各个字段是完全相同的一类数据，则会对其再次去重，关联整合后的漏洞库则是最终的漏洞知识库；

依赖组件按包管理器分类爬取组件信息，并存入组件知识库；

通过数据清洗脚本对获取到的组件信息和漏洞信息进行处理和分析，并且将基本信息、清洗结果等进行分类存储和管理；

清洗关联后的信息统一存储进数据库，数据库包含项目信息库、漏洞库和依赖组件库，将漏洞知识库与组件知识库进行关联整合，形成关联知识库。

2.根据权利要求1所述的适用于开源组件的安全与合规治理方法，其特征在于：所述漏洞与依赖信息的采集过程为，通过预设渠道获取漏洞和依赖组件的信息，对获取到的信息进行清洗和关联，并保持对知识库的持续更新。

3.根据权利要求1所述的适用于开源组件的安全与合规治理方法，其特征在于：所述步骤一中，通过采集模块通过分布式爬虫、反爬虫绕过及更新策略进行漏洞特征的采集，所述漏洞特征包括CVE编号、标题、类型、解决方案、组件的名称、版本、许可证信息中的一种或是多种。

4.根据权利要求3所述的适用于开源组件的安全与合规治理方法，其特征在于：所述采用人工导入模块进行配合，用于特定的组件信息、漏洞基本信息数据的导入。

5.根据权利要求1所述的适用于开源组件的安全与合规治理方法，其特征在于：所述漏洞知识库漏洞和依赖组件知识库的持续更新采用Scrapy爬虫框架基础实施，通过gerapy对爬虫进行管理，通过docker的每日定时任务，持续更新全球开源项目的信息、组件信息以及漏洞信息。

6.根据权利要求1所述的适用于开源组件的安全与合规治理方法，其特征在于：所述步骤二中，

通过预设系统关联各平台仓库，所述平台仓库包括Github、Gitee、Gitlab中的一种或是多种；

通过命令行、zip包上传开源项目，或是登录Gitee、Gitlab、Github拉取项开源目；

通过对源代码中的依赖文件内容进行解析，将不同的zip包进行分类，按照不同的包管理器进行解析，分析源代码中所使用的依赖组件情况，形成树状结构并且找出树节点进行节点筛选，筛选出有漏洞的依赖并且进行标记，最后存入到数据库中。

7.根据权利要求6所述的适用于开源组件的安全与合规治理方法，其特征在于：所述分析源代码中所使用的依赖组件情况的过程为，

查找到有漏洞的依赖组件后进行标记，分析漏洞的受影响范围、是否有解决方案等信息，如果有就在系统中解决方案字段进行展示，没有则显示无，将漏洞的信息进行记录，基于知识库进行开源许可证的风险及合规分析。