本公開提供一種鏈接庫檢測方法、裝置以及電子設備和計算機可讀存儲介質，該方法包括：獲取目標二進制代碼中的目標特征信息；將所述目標特征信息與鏈接庫的特征信息進行匹配，以確定所述目標二進制代碼調用的目標鏈接庫；通過靜態程序分析獲得所述目標二進制代碼中數據和函數的引用關系；根據所述目標鏈接庫對所述目標二進制代碼中數據和函數的引用關系進行分析，在目標二進制代碼中確定包括所述目標鏈接庫版本信息的目標函數；根據所述目標函數確定所述目標鏈接庫的版本信息。本公開實施例提供的技術方案可以準確的確定目標二進制代碼調用的鏈接庫以及該鏈接庫的版本信息。

技術領域

本公開涉及計算機與互聯網技術領域，尤其涉及一種鏈接庫檢測方法、裝置、電子設備和計算機可讀存儲介質。

背景技術

目前大多數的軟件應用，無論是移動應用還是桌面應用，為了降低開發成本、提高開發效率，或多或少都使用了開源代碼(一種可以鏈接至軟件中的代碼，可以稱之為鏈接庫)用于接口或功能的開發。

開源代碼大多經過封裝后，為用戶提供相應的接口、屬性和方法，用戶能夠使用組件卻無法看到源代碼。目前來說，使用開源代碼的研發者通常都將重心放在了組件的功能上，很少會有人對其進行深入研究，關心其是否存在安全問題。然而，根據CVE(CommonVulnerabilities and Exposures，通用漏洞披露)統計，開源代碼時常被曝光存在安全漏洞，進而導致使用該組件的軟件產品存在潛在安全隱患。

一般來說，使用開源代碼確實可以提高研發者的工作效率，同時達到知識共享與發展的目的。但是，由于一些軟件研發者沒有向客戶透漏開源代碼的調用情況，這將會導致客戶對自身項目的開源代碼使用情況會產生誤判，進而對自身項目中存在的漏洞情況產生誤判。

目前，對于軟件中開源代碼來源的檢測，大多數是基于源代碼進行檢測，但是開源代碼通常以二進制代碼的形式存在。因此，如何從海量二進制代碼中高效的檢測出各個二進制代碼中調用的開源代碼對于漏洞檢測來說至關重要。

需要說明的是，在上述背景技術部分公開的信息僅用于加強對本公開的背景的理解，因此可以包括不構成對本領域普通技術人員已知的現有技術的信息。

發明內容

本公開實施例提供一種鏈接庫檢測方法及裝置、電子設備和計算機可讀存儲介質，能夠高效、準確地確定目標二進制代碼中調用的目標鏈接庫及其版本信息。

本公開的其他特性和優點將通過下面的詳細描述變得顯然，或部分地通過本公開的實踐而習得。

本公開實施例提出一種鏈接庫檢測方法，該方法包括：獲取目標二進制代碼中的目標特征信息；將所述目標特征信息與鏈接庫的特征信息進行匹配，以確定所述目標二進制代碼調用的目標鏈接庫；通過靜態程序分析獲得所述目標二進制代碼中數據和函數的引用關系；根據所述目標鏈接庫對所述目標二進制代碼中數據和函數的引用關系進行分析，在目標二進制代碼中確定包括所述目標鏈接庫版本信息的目標函數；根據所述目標函數確定所述目標鏈接庫的版本信息。

本公開實施例提供一種鏈接庫檢測裝置，包括：目標特征獲取模塊、信息匹配模塊、引用關系確定模塊以及目標函數確定模塊以及版本信息確定模塊。

其中，所述目標特征獲取模塊配置為獲取目標二進制代碼中的目標特征信息。所述信息匹配模塊配置為將所述目標特征信息與鏈接庫的特征信息進行匹配，以確定所述目標二進制代碼調用的目標鏈接庫。所述引用關系確定模塊配置為通過靜態程序分析獲得所述目標二進制代碼中數據和函數的引用關系。所述目標函數確定模塊配置為根據所述目標鏈接庫對所述目標二進制代碼中數據和函數的引用關系進行分析，在目標二進制代碼中確定包括所述目標鏈接庫版本信息的目標函數。所述版本信息確定模塊，配置為根據所述目標函數確定所述目標鏈接庫的版本信息。

在一些實施例中，所述目標鏈接庫包括第一函數，所述第一函數包括版本信息和第一符號特征。