[发明专利]一种第三方组件检测方法、系统和计算机设备

权利要求书

1.一种第三方组件检测方法，其用于对将要在发布系统发布的软件或应用中依赖的相关组件进行安全检测，其特征在于，所述方法包括：

配置第一检测任务和第二检测任务，所述第一检测任务用于实时检测，所述第二检测任务用于应急检测；

在对待发布的软件或应用的文件进行编译发包时，启动第一检测任务；

根据所检测的第三方组件的信息数据，识别判断所述第三方组件是否存在风险，并记录与所述第三方组件相关的信息数据；

在判断所述第三方组件存在风险时，实时向所述发布系统发送阻断指令，以进行实时阻断。

2.根据权利要求1所述的第三方组件检测方法，其特征在于，所述第三方组件包括登陆组件、交易组件和认证组件。

3.根据权利要求1或2所述的第三方组件检测方法，其特征在于，所述识别判断所述第三方组件是否存在风险包括：

根据预定判断规则，判断所述第三方组件是否风险组件；

在所述第三方组件是风险组件的情况下，计算所述第三方组件的风险值，该风险值为风险利用成本；

在所计算的风险值处于第一设定范围内时，对所述第三方组件进行实时阻断。

4.根据权利要求3所述的第三方组件检测方法，其特征在于，

确定计算参数，并设定与各计算参数相对应的权重系数，将各计算参数和相应权重系数进行加权计算，以得到所述第三方组件的风险利用成本。

5.根据权利要求4所述的第三方组件检测方法，其特征在于，所述计算参数包括所述第三方组件的攻击向量、攻击复杂度、利用代码的成熟度、可修复度、所述第三方组件所应用系统的系统本身重要度以及相应系统所处的网络环境参数。

6.根据权利要求3所述的第三方组件检测方法，其特征在于，所述预定判断规则包括：

将检测到的第三方组件的名称、版本与风险库中的风险组件的名称、风险版本范围进行对比匹配；

在所述第三方组件的名称与风险库中的风险组件的名称相同时，和/或在所述第三方组件的版本落在风险库的风险版本范围内时，判断所述第三方组件为风险组件。

7.根据权利要求1或6所述的第三方组件检测方法，其特征在于，还包括：

在对第三方组件进行实时阻断时，同时向业务人员发送提示信息，该提示信息包括风险等级、风险值、存在风险的版本范围以及安全版本。

8.根据权利要求1所述的第三方组件检测方法，其特征在于，包括：

在第三方组件的风险值位于第二设定范围内时，对所述第三方组件进行应急检测记录，并且

根据所记录的各第三方组件相关的信息数据，对各第三方组件进行应急检测标识，以在出现触发事件时启动第二检测任务，该触发事件包括组件、软件或应用升级，依赖第三方组件的其他软件或应用出现漏洞问题、权限问题或合规问题。

9.一种第三方组件检测系统，其用于对将要在发布系统发布的软件或应用中依赖的相关组件进行安全检测，其特征在于，所述系统包括：

配置模块，用于配置第一检测任务和第二检测任务，所述第一检测任务用于实时检测，所述第二检测任务用于应急检测；

检测模块，在对待发布的软件或应用的文件进行编译发包时，启动第一检测任务；

识别判断模块，根据所检测的第三方组件的信息数据，识别判断所述第三方组件是否存在风险，并记录与所述第三方组件相关的信息数据；

阻断模块，在判断所述第三方组件存在风险时，实时向所述发布系统发送阻断指令，以进行实时阻断。

10.根据权利要求9所述的第三方组件检测系统，其特征在于，所述第三方组件包括登陆组件、交易组件和认证组件。