本申請提供了一種開源軟件漏洞分析方法、裝置和存儲介質，涉及開源軟件漏洞分析技術領域，該方法包括：獲取待測軟件中的開源代碼；將所述開源代碼的源文件集與漏洞庫中的源碼型漏洞進行同源性比對檢測；輸出比對檢測結果。本申請實施例提供的一種開源軟件漏洞分析方法、裝置和存儲介質，將待測軟件中的開源代碼進行同源性比對檢測，可以對待測軟件中的開源代碼是否含有漏洞實現準確，高效的識別。

技術領域

本申請涉及網絡安全技術領域，具體而言，涉及一種開源軟件漏洞分析方法、裝置和存儲介質。

背景技術

隨著互聯網的發展，資源的共享日益增多，人們可以得到的資源也越來越多，但是，隨著軟件開發的門檻越來越低，大量的初級開發人員往往未對開源代碼的安全性進行檢測就將其發布到開源社區中，存在的安全漏洞開源代碼就成為了潛在的隱患，而且，一般而言，在開發人員引用開源代碼時，對其所引用的開源代碼并不加以說明，甚至會對開源代碼做一些不影響代碼功能的修改，比如修改函數名或者變量名、打亂語句順序及類型重定義等等，使得漏洞的識別變得更加困難。現有技術中通常使用基于缺陷模式的檢測技術將漏洞特征與待測軟件中的源代碼進行匹配，進而實現對待測軟件的漏洞識別。

發明內容

有鑒于此，本申請的目的在于提供一種開源軟件漏洞分析方法、裝置和存儲介質，可以實現準確，高效的漏洞識別。

第一方面，本申請實施例提供一種開源軟件漏洞分析方法，其中，方法包括：

獲取待測軟件中的開源代碼；

將開源代碼的源文件集與漏洞庫中的源碼型漏洞進行同源性比對檢測；

輸出比對檢測結果。

結合第一方面，本申請實施例提供了第一方面的第一種可能的實施方式，其中，漏洞庫中包括源碼型漏洞和庫類型漏洞；將開源代碼的源文件集與漏洞庫中的源碼型漏洞進行同源性比對檢測之前，還包括：

將開源代碼預處理為源文件集和庫文件集；

方法還包括：

將開源代碼中的庫文件集與漏洞庫中的庫類型漏洞進行組件引用檢測；

輸出比對檢測結果，包括：

輸出同源性比對檢測結果和組件引用檢測結果；

其中，組件引用檢測包括：判斷庫文件集中含有庫類型漏洞的庫文件是否被使用。

結合第一方面的第一種可能的實施方式，本申請實施例提供了第一方面的第二種可能的實施方式，其中，將開源代碼預處理為源文件集和庫文件集，包括：

提取開源代碼中的至少一個源文件、至少一個庫文件和至少一個配置文件；

將至少一個源文件組成源文件集；

將至少一個庫文件和至少一個配置文件組成庫文件集。

結合第一方面的第二種可能的實施方式，本申請實施例提供了第一方面的第三種可能的實施方式，其中，將至少一個庫文件和至少一個配置文件組成庫文件集包括：

通過配置文件中的包管理工具，獲取第三方包；

將第三方包和庫文件組成庫文件集。

結合第一方面的第一種可能的實施方式，本申請實施例提供了第一方面的第四種可能的實施方式，其中，同源性比對檢測包括：

若將源文件集與源碼型漏洞進行文本比對后，未發現源碼型漏洞，則將源文件集與源碼型漏洞進行Token標識比對，若發現源碼型漏洞，則將源文件集進行二次分析；