[发明专利]适用于开源组件的安全与合规治理方法

说明书

本发明涉及一种适用于开源组件的安全与合规治理方法，步骤一，对知识库进行构建，扫描依赖配置文件，形成组件成分清单，建立组件关系树，步骤二，查找到有漏洞的依赖组件进行分析，步骤三，提供漏洞的修复方案及组件的动态修复方案。由此，支持对开源依赖组件与开源许可证的支持，能进行自动化识别与安全、合规分析。通过组件间的依赖关系建立组件关系树，从而进行审查和管理。支持检测组件所关联的漏洞情况。能提供动态修复方案，同时支持自动修复。对漏洞进行持续跟踪与监控，能确保产品的安全性。能够适应敏捷开发，可集成ci/cd工具，做到安全左移，提高开发效率，降低开发成本。

技术领域

本发明涉及一种开源组件的治理处理方法，尤其涉及一种适用于开源组件的安全与合规治理方法。

背景技术

近来，随着开源软件的使用量日益增加，在系统开发中使用开源组件逐渐流行起来。2019年，Github的报告指出，超过360万个开源项目依赖了Top50的开源项目之一，rails/rails、facebook/jest、axios/axios等知名项目被其他上百万个开源项目使用。同时，开源项目平均有180个第三方依赖组件，具体的依赖组件数量从几个到上千个不等。依赖组件有很多优点，例如可以免费获得源代码并且可以修改源代码。事实上，很多OSS(OpenSource Software)组件具有很高的可靠性，高性能性和鲁棒性。另一方面，在系统中复用OSS组件(一般指外部组件)在很多方面也存在一系列的挑战，例如从正确选择组件到将组件成功地集成到系统中，再到测试选择的组件。因此，开源软件虽然为IT行业带来了极大便利，提高了开发效率，降低了成本，但是在在很多方面也存在一系列的挑战，由于开源软件的依赖和引用关系较为复杂，其安全性也往往缺少审查和管理，在《2019年开源软件风险研究报告》中，对48363个项目进行依赖组件安全性进行分析，共获得依赖组件漏洞警告信息83834条。其中，总样本项目的20.79％存在依赖组件漏洞，按开源社区划分，18.03％的Github样本项目包含依赖组件漏洞，33.63％的Gitee样本项目包含依赖组件漏洞，因此开源软件也增加了软件供应链的复杂性和安全风险。

开源漏洞来源广泛且杂乱，开源软件的漏洞信息散布于各个社区、托管平台等，因此官方漏洞库收录有缺失，部分开源漏洞未能被收录于官方漏洞库中。且开源软件维护者没有直接有效途径通知开源软件使用者最新的漏洞情况，漏洞信息难以通知到使用者。另一方面，NVD、CNVD、CNNVD等漏洞库中的开源软件漏洞数量不断增加，还有大量开源软件漏洞未被收录到这些漏洞库中，一些现在没有安全漏洞的开源软件，将来也有可能会爆出漏洞，如果不能及时知晓这些安全漏洞以及安全漏洞是否涉及到自身的软件产品，也是一种很大的风险。

虽然开源软件名义上是“免费的”，但它的使用同样受到许可证的约束，除了信息安全风险，开源软件还可能引入知识产权风险，近年来,世界各地违反开源软件许可证的案件不断发生,通过我国企业在使用开源软件过程中存在着各种不遵守软件许可证的情形,究其原因主要是因为使用者对开源软件的性质认知错误,对许可证部分条款存在误解以及对法律后果存在侥幸心理，因此开源许可证风险也不可忽视。由于开源软件的依赖关系的复杂性，在使用开源软件时，不同开源软件的许可证可能存在合规性和兼容性风险，开源许可证的不合理使用可能会为企业留下了许多法律隐患，从而导致知识产权风险。

有鉴于上述的缺陷，本设计人，积极加以研究创新，以期创设一种适用于开源组件的安全与合规治理方法，使其更具有产业上的利用价值。

发明内容

为解决上述技术问题，本发明的目的是提供一种适用于开源组件的安全与合规治理方法。

本发明的适用于开源组件的安全与合规治理方法，其特征在于包括以下步骤：

步骤一，对知识库进行构建，扫描依赖配置文件，形成组件成分清单，建立组件关系树，

步骤二，查找到有漏洞的依赖组件进行分析，利用分析组件实现安全性及合规性的分析，包含组件的漏洞、组件的许可证分析，