在一個實現方式中，軟件組件包括撤銷機構的標識。在對給定平臺中的軟件進行加載之前，撤銷機構被檢查任意撤銷消息。撤銷機構針對將被撤銷的任意軟件組件創建軟件組件專用消息，而不是使用證書撤銷或單獨的許可證。消息包括緩解信息，例如用于在不需要更新或改變代碼的情況下自動配置已經安裝的軟件的指令。

技術領域

本公開一般地涉及軟件撤銷，并且更具體地涉及用于撤銷軟件的基礎設施。

背景技術

軟件被分發到各種平臺。軟件可以被更新或更改以處理漏洞或者以提供額外的特征。隨著時間的推移，給定平臺上的軟件的版本包括各種組件或更新的集合。當針對下一版本的新的軟件組件被創建時，該軟件組件被分發到平臺以供更新。更新可能不受歡迎地在軟件中創建漏洞或其他錯誤。

為了避免對軟件的惡意更改，許多軟件組件被數字簽署。某些系統或網絡平臺需要簽署其軟件組件中的全部或一些。數字簽署允許平臺確定軟件起源的真實性。然而，軟件組件的數字簽署不能證明安全性或者軟件中不存在安全漏洞。對于軟件組件中發現的安全缺陷來說共同的地方是，使得組件暴露給可能在某些情況下是可利用的漏洞。如果攻擊者可以使得易受攻擊的但是已簽署的軟件組件被加載，則系統可能被危害。為了系統的安全性，不只是數字簽署被使用，例如用以確保軟件是沒有已知漏洞的版本的處理也被使用。

撤銷機制在公共密鑰基礎設施(PKI)環境中是常見的。PKI可以被用于簽署軟件組件。撤銷機制可以被用來撤銷簽署人的證書。在特定時間點之后被簽署的軟件被宣布無效。這是非常粗糙并且苛刻的機制，該機制可以在系統中引起重要的重新配置以適應新的可信根并且可以使不受影響的安全軟件組件無效，例如在該機制中證書與安全的軟件組件和不安全的組件相關聯。許可機制可以允許使用軟件組件證書來撤銷單獨的軟件許可證，因此需要追蹤所有各種平臺的許可證和所有軟件組件的證書。

威脅響應分發協議(TRDP)提供了傳輸與基于網絡的威脅和響應有關的信息的方式。這提供了用于傳輸為了處理軟件漏洞而采取的動作的機制，但使得網絡管理員轉錄并實現該動作。

附圖說明

為了提供對本公開及其特征和優勢的更全面的理解，參考以下描述并結合附圖，其中相似標號表示相似部分。

圖1是針對軟件撤銷的示例基礎設施的簡化框圖；

圖2是用于軟件撤銷的方法的一個實施例的流程圖；以及

圖3是根據一個實施例的用于軟件撤銷中的網絡設備的框圖。

具體實施方式

概述

軟件組件包括撤銷機構的標識。在對給定平臺中的軟件進行加載之前，撤銷機構被檢查任意撤銷消息。該加載檢查可以在定期進行的基礎上被執行。加載可以用于在系統上進行安裝或者用于將程序加載到存儲器中。每當簽名被檢查時，如果撤銷信息是可用的，則撤銷通常都被檢查。撤銷機構針對將被撤銷的任意軟件組件創建軟件組件專用消息，而不是使用證書撤銷或單獨的許可證。消息包括緩解信息，例如用于在不需要更新或改變代碼的情況下自動配置已經安裝的軟件的指令。

在一方面，方法被提供。已簽署軟件組件的多個實例通過網絡被分發到多個設備。實例包括撤銷機構的標識。撤銷機構的處理器接收針對已簽署軟件組件的撤銷消息的請求。處理器響應于請求來發送撤銷消息。撤銷消息包括針對設備中的一個設備上的已簽署軟件組件的配置的緩解信息，并且包括簽名。

在第二方面，邏輯被編碼在包括用于執行的代碼的一個或多個非暫態計算機可讀介質中。當代碼被處理器執行時，代碼能操作來執行以下各項操作，包括：激活平臺上的軟件組件(該軟件組件包括第一簽名并且具有版本)；驗證第一簽名是有效的并且來源于可信的簽署證書；檢查軟件組件的版本的撤銷；當版本被撤銷時接收緩解信息；以及處理軟件組件的緩解信息。