本發明提供一種針對開源組件漏洞自動化監控方法及系統，包括如下步驟：調度爬蟲搜索抓取國內外漏洞披露平臺最新發布的數據；將抓取的數據記錄并更新至本地開源組件漏洞庫；調度指紋掃描器探測系統及服務所使用的開源組件并將掃描結果進行記錄并更新至開源組件資料庫；將抓取的數據與開源組件資料庫中信息進行匹配篩選當前存在風險的組件；調度組件漏洞反饋記錄機制，對相關負責人進行預警。實現自動化漏洞預警追蹤和安全構建，安全人員只需關注篩選后與產品和公司相關漏洞，節省了超大工作量，提高了安全漏洞發現和追蹤的效率；提高漏洞追蹤范圍；24小時內即可響應最新爆出漏洞，提高公司網絡安全響應時效。

技術領域

本發明涉及系統開發技術領域，具體涉及一種針對開源組件漏洞自動化監控方法及系統。

背景技術

在軟硬件系統開發過程中，通常會引用各類的開源組件，實現不同的功能避免重復造輪子的情況。但是不同的開源組件會存在各式各樣已知或新爆出的安全漏洞，部分重要的開源組件和嚴重的安全漏洞可能會導致全部產品存在致命安全隱患，易被利用造成經濟損失和產品影響。所以及時對開源組件漏洞進行修復和升級非常重要。

現階段對開源組件漏洞進行處理主要存在如下問題：1、對于開源組件規模日益增大，導致漏洞種類繁多，數量巨大，而漏洞修補需要人工對每個組件進行發現、確認和研究，分析效率低下。2、由于每個組件對于漏洞爆出及修補的時間也不一致，組件種類過多，導致無法及時發現漏洞并修補。如果要對每類開源組件及組件每個版本漏洞進行統計追蹤，需要手工執行幾萬次冗余重復的操作，耗費大量時間、人力成本。3、當前所有自動化漏洞掃描和管理均是基于掃描探測服務來進行發現，對于不與外部通信的開源組件漏洞難以發現，容易造成漏報，給企業和產品帶來風險。4、當前漏洞掃描都需要定期更新漏洞庫，無法及時響應24小時內0-day漏洞，時間滯后使漏洞造成影響更大和深遠。

發明內容

針對公司級或一個web、C/S、嵌入式系統及服務器等產品中所有引用的開源組件進行漏洞發現、預警及跟蹤存在的上述問題，本發明提供一種針對開源組件漏洞自動化監控方法及系統。

本發明的技術方案是：

一方面，本發明技術方案提供一種針對開源組件漏洞自動化監控方法，包括如下步驟：

調度爬蟲搜索抓取國內外漏洞披露平臺最新發布的數據；

將抓取的數據記錄并更新至本地開源組件漏洞庫；

調度指紋掃描器探測系統及服務所使用的開源組件并將掃描結果進行記錄并更新至開源組件資料庫；

將抓取的數據與開源組件資料庫中信息進行匹配篩選當前存在風險的組件；

調度組件漏洞反饋記錄機制，對相關負責人進行預警。

進一步的，所述的將抓取的數據記錄并更新至本地開源組件漏洞庫的步驟包括：

對抓取的數據提取有效關鍵信息；

根據有效關鍵信息將數據整合過濾，以標準格式保存至本地開源組件漏洞庫。

進一步的，調度爬蟲搜索抓取國內外漏洞披露平臺最新發布的數據的步驟中，國內外漏洞披露平臺包括CVE、cnnvd、cnvd；

有效關鍵信息包括CVE-ID、漏洞名稱、漏洞詳細內容、漏洞組件、影響組件版本、修復補丁地址、修復版本。

進一步的，所述的將抓取的數據與開源組件資料庫中信息進行匹配篩選當前存在風險的組件的步驟具體包括：

調度自動化漏洞分析對每日抓取的漏洞進行循環遍歷正則匹配，篩選開源組件資料庫中相關的組件漏洞并對漏洞版本和登記當前組件版本進行對比，判斷是否當前組件存在漏洞。

進一步的，所述的調度組件漏洞反饋記錄機制，對相關負責人進行預警的步驟包括：