[发明专利]面向开源软件供应链的无CVE漏洞智能预警方法及电子设备

说明书

本公开涉及一种面向开源软件供应链的无CVE漏洞智能预警方法及电子设备。所述方法包括：获取用于修复软件漏洞的相关安全代码的日志文本和代码信息；基于所述代码信息中的添加代码内容和删除代码内容，得到修改向量表示，并根据所述修改向量表示，计算所述相关安全代码为无CVE漏洞代码的第一概率；通过对所述日志文本进行分类，得到所述相关安全代码为无CVE漏洞代码的第二概率；基于所述第一概率和所述第二概率，计算所述相关安全代码的无CVE漏洞预警结果。本发明实现了可持续收集和标注漏洞。

技术领域

本发明属于计算机科学与技术领域，涉及一种面向开源软件供应链的无CVE漏洞智能预警方法及电子设备。

背景技术

开源软件供应链是一个实际业务系统，在开发和运行过程中，涉及的所有开源软件上游社区(Upstream)、源码包(Source)、二进制包(Binary)、包管理器(PackageManager)、存储仓库(Repository)，以及开发者(Developer)和维护者(Maintainer)、社区(Community)、基金会(Foundation)等、按照依赖(Depend)、打包(Package)、构建(Build)、托管(Host)、协作(Collaborate)、指导(Guide)等关系形成的供应链网络。开源软件供应链和我国国民生活、城市建设、工业生产等息息相关，影响着智能家居、汽车、智能电网等众多关键基础设施的开发和管理。然而随着开源软件供应链体系越来越庞大，威胁风险的渗入点不断增多，分布在开源软件供应链的各个环节。安全漏洞是开源软件供应链中最大的风险之一。攻击者利用软件供应链中的安全漏洞进而可以植入恶意代码或者窃取敏感信息。一旦安全漏洞被不法分子利用后，企业内部数据库的敏感数据很可能被黑客获取，并以此获利，严重影响数据安全。如果漏洞的相关信息在被修复之前纰漏是非常危险的，因为这些信息可能是攻击者来定位和利用漏洞的关键因素。因此，软件开发商及CVE机构需要尽快获知用于修复软件漏洞的相关安全代码(Security RelatedCommits，SRC)中的内容，以尽量保证漏洞信息在相关修复策略公布前对公众不可访问。

发明内容

为实现上述目的，本发明公开了一种面向开源软件供应链的无CVE漏洞智能预警方法及电子设备，通过收集SRC的日志文本及代码信息，实现了可持续收集和标注漏洞。

本发明的技术方案包括：

一种面向开源软件供应链的无CVE漏洞智能预警方法，所述方法包括：

获取用于修复软件漏洞的相关安全代码的日志文本和代码信息；

基于所述代码信息中的添加代码内容和删除代码内容，得到修改向量表示，并根据所述修改向量表示，计算所述相关安全代码为无CVE漏洞代码的第一概率；

通过对所述日志文本进行分类，得到所述相关安全代码为无CVE漏洞代码的第二概率；

基于所述第一概率和所述第二概率，计算所述相关安全代码的无CVE漏洞预警结果。

进一步地，所述基于所述代码信息中的添加代码内容和删除代码内容，得到修改向量表示，包括：

结合所述相关安全代码对应的文件，获取所述代码信息中的添加代码内容和删除代码内容；

基于BPE算法，分别获取所述添加代码内容和删除代码内容的字符序列；

将每一文件的所述添加代码内容和删除代码内容的字符序列分别进行拼接，得到各文件的添加代码内容拼接结果和删除代码内容拼接结果；

将各文件的添加代码内容拼接结果和删除代码内容拼接结果分别输入两个并行的CodeBERT模型，获得所述相关安全代码的添加代码内容和删除代码内容的向量编码；

对添加代码内容和删除代码内容的向量编码进行拼接，得到修改向量表示。