[发明专利]一种漏洞和软件对齐的方法、装置以及存储介质

说明书

本发明实施例涉及软件测试领域，公开了一种漏洞和软件对齐的方法、装置以及存储介质，包括：抓取安全漏洞发布网站发布的漏洞信息，建立公开漏洞资源数据库；建立包含公开漏洞的软件信息数据库；以开发商，软件名称的键值对为关键词，在指定网站范围内进行搜索，将对应键值对的搜索结果插入软件信息数据库；根据上一步得到的软件信息数据库进行过滤，筛选其中符合对齐要求的软件信息并设置为可信，标识其为对齐完成数据；每次更新漏洞数据库时查找并更新软件信息数据库；本发明基于搜索引擎的庞大搜索量所训练的推荐算法，能够获得较为准确的开源软件的源代码仓库地址，或者闭源软件的二进制下载链接。

技术领域

本发明涉及软件测试领域，具体为一种使用搜索引擎推荐结果进行漏洞和软件对齐的方法、装置以及存储介质。

背景技术

目前网络上有一定数量的安全网站维护了公开漏洞数据库，以记载相关的软件安全问题和解决办法，例如NVD，CVE等软件安全漏洞库，同时在部分大型网站官网上也维护了相关的漏洞数据，例如linux开源社区中有单独的bug反馈区域，微软官网也有相关软件的安全漏洞发布页面。这些数据格式各自不同，并且数据不太完整，对于NVD官网的数据来说，只会给出开发商， 软件名称键值对，但是并不会给出该键值对对应于哪个开源项目仓库或者二进制文件，只能称为漏洞的描述信息，并不具有准确映射代码的能力，面对庞大的软件资源，无法准确的将漏洞和需要测试的软件相关联，为软件的安全维护和监控带来一定的障碍。

漏洞对齐，其目的是针对已有的大量公开漏洞和开源软件做文件、函数、代码行级别的映射。公开漏洞能够准确的定位到某一段源代码，或者某一个代码仓库下的指定版本称为对齐，也即公开漏洞和开源代码的映射技术。

目前常见的漏洞对齐方式均为基于语义的对齐，可以简单分为以下两种：

1. 基于字符串的匹配方法：针对开发商， 软件名称键值对，对软件的仓库或者下载链接与开发商， 软件名称键值对进行匹配进行字符匹配，如果软件的仓库或者下载链接与开发商， 软件名称键值对存在某种相似性则认为其匹配成功，包含漏洞的软件和该下载链接的软件为相同软件。

2. 基于机器学习的语义匹配：该方法的原则为开发商， 软件名称键值对在语义上和其下载链接应该具有一定的相通性，因此利用自然语言处理的方式，训练模型并预测开发商， 软件名称键值对和某个软件下载链接是否匹配，从而准确定位到漏洞的源代码或者二进制文件，应用于代码分析中。

以上两种方法均是基于语义的匹配方式，对于开发商名称不包含在下载链接中的数据，其对齐效果较差，甚至无法处理。

发明内容

本发明实施方式的目的在于提供一种漏洞和软件对齐的方法，能够快速获得较为准确的开源软件的源代码仓库地址，将开发商， 软件名称信息映射至开源软件仓库，或者闭源软件的二进制下载链接，克服了漏洞信息无法直接映射到开源仓库，给漏洞数据的利用带来较大的困难的问题。

为解决上述技术问题，本发明的实施方式提供了一种漏洞和软件对齐的方法，包括以下步骤：

S101：抓取安全漏洞发布网站发布的漏洞信息，并进行实时更新，建立公开漏洞资源数据库；

S102：根据所述公开漏洞资源数据库，建立包含公开漏洞的软件信息数据库；

S103：以开发商， 软件名称的键值对为关键词，在指定网站范围内进行搜索，抓取搜索引擎推荐的搜索结果，将对应键值对的搜索结果插入软件信息数据库；

S104： 对步骤S103得到的软件信息数据库进行过滤，筛选其中符合对齐要求的软件信息并设置为可信，标识所述符合对齐要求的软件信息为对齐完成数据，所述对齐要求为所述搜索结果中至少包含开发商，软件名称键值对中的一个；

S105： 每次更新漏洞资源数据库时查找并更新软件信息数据库。