[发明专利]开源软件漏洞管控方法及装置

说明书

本发明属于信息安全技术领域，本发明提供了一种开源软件漏洞管控方法及装置，开源软件漏洞管控方法包括：获取系统中所有代码文件所对应的特征值；在开源软件漏洞数据库中遍历所述特征值，以生成遍历结果；根据遍历结果管控所述系统中的开源软件漏洞。本发明克服了现有技术中，对开源软件漏洞传统的处理方法存在的弊端，通过利用开源软件指纹码比对的方式，将漏洞软件指纹、企业使用开源软件指纹、开源软件漏洞数据库库中指纹三种指纹的比对来明确当前漏洞的影响范围，并根据开源软件漏洞数据库提供的漏洞解决方案，自动的对存在漏洞的开源软件进行有效的传播阻止，同时实现自动生产环境漏洞修复，以达到及时发现、及时隔离、自动升级的目的。

技术领域

本申请涉及信息安全技术领域，具体涉及一种开源软件漏洞管控方法及装置。

背景技术

随着金融行业和互联网企业对开源软件的使用成爆发式的增长，各大企业在引入开源软件时通常会关注其可用性和功能实现，却忽略其漏洞的管控，互联网飞速发展，也带来的开源软件巨量爆发，但一旦漏洞爆发，企业却没有有效的管控手段能够甄别出企业所使用的开源软件存在哪些漏洞，这些漏洞有哪些影响，如何尽快的掌握漏洞信息同时能够阻断漏洞的蔓延，对于已经上了生产的存在漏洞的开源软件又该做如何的补救。这是目前绝大多数互联网企业在使用开源软件方面所面对的最重要的问题，也是亟需解决的问题。

现有技术中，对开源软件漏洞管控的方式是通过CNNVD(中国国家信息安全漏洞库)获知开源软件存在的漏洞风险，同时会公布该漏洞是否有修复方案，应急解决措施等信息。企业需要订阅这些信息，一旦有开源软件爆出漏洞(例如：2019年fastjson漏洞)企业会着手组织梳理当前已部署到生产的那些应用使用了存在漏洞的开源软件，从而根据CNNVD发布的漏洞修复方案来组织紧急生产补丁修复漏洞带来的影响。

上述做法存在以下三点严重影响漏洞修复效率的缺陷，首先接收CNNVD发布的信息存在一定的延迟、其次梳理生产环境哪些应用使用了这个开源软件需要极大的时间耗费，另外对于漏洞修复后再去生产打补丁存在时间延迟。这三方面的时间延迟给漏洞创造了很长的可利用时间窗口，严重的情况下可能造成巨大的安全隐患和财产损失。

发明内容

本发明属于信息安全技术领域，本发明克服了金融和通讯领域等互联网企业对开源软件漏洞管控方面的缺失以及传统手段效率低下和可实施周期长的缺陷，提供了一种高效、安全、智能、自主的漏洞管控、治理方案和装置。

为解决上述技术问题，本发明提供以下技术方案：

获取系统中所有代码文件所对应的特征值；

在开源软件漏洞数据库中遍历所述特征值，以生成遍历结果；

根据遍历结果管控所述系统中的开源软件漏洞。

一实施例中，所述获取系统中所有代码文件所对应的特征值包括：

根据当前代码本库、当前代码本库的分支、当前代码本库的原始基线以及当前代码本库的当前基线获取所述代码文件；

计算所述代码文件所对应的MD5值。

一实施例中，所述根据遍历结果管控所述系统中的开源软件漏洞包括：

若所述遍历结果为所述开源软件漏洞数据库中存在于所述MD5值所对应的开源软件漏洞；则对所述开源软件漏洞进行升级。

一实施例中，对所述开源软件漏洞进行升级包括：

确定所述开源软件漏洞所对应的应用服务节点以及部署节点目录；

分别对应用服务节点的开源软件漏洞以及部署节点目录的开源软件漏洞进行升级。

第二方面，本发明提供一种开源软件漏洞管控装置，该装置包括：

MD5值获取单元，用于获取系统中所有代码文件所对应的特征值；