[發明專利]一種用于Java開源組件安全檢測的方法在審
| 申請號: | 202010968713.2 | 申請日: | 2020-09-15 |
| 公開(公告)號: | CN112115473A | 公開(公告)日: | 2020-12-22 |
| 發明(設計)人: | 廖雷;李書紅;林正勇;龍長春 | 申請(專利權)人: | 四川長虹電器股份有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06F21/57 |
| 代理公司: | 四川省成都市天策商標專利事務所 51213 | 代理人: | 張秀敏 |
| 地址: | 621000 四*** | 國省代碼: | 四川;51 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 用于 java 組件 安全 檢測 方法 | ||
1.一種用于Java開源組件安全檢測的方法,其特征在于,包括:
步驟S100:采用Maven搭建私有倉庫,對私有倉庫存儲的開源組件標注安全風險等級,存儲為第一開源組件;
步驟S200:上傳系統工程文件,通過在maven工程pom文件中配置maven依賴包信息提取插件解析系統工程文件,獲取工程文件依賴的第二開源組件的列表;
步驟S300:從第一開源組件查找出與第二開源組件分別對應的第三開源組件,將第二開源組件與第三開源組件對比,生成安全報告。
2.根據權利要求1所述的一種用于Java開源組件安全檢測的方法,其特征在于,所述步驟S200具體包括:
步驟S210:為待檢測的maven代碼工程文件建立基線;
步驟S220:從源碼庫摘取對應基線版本的源代碼;
步驟S230:編譯源代碼工程文件,下載工程文件依賴的依賴包;
步驟S240:在maven工程pom文件中配置maven依賴包信息提取插件,并執行相應的maven命令,生成當前工程文件的maven依賴包信息數據文件。
3.根據權利要求2所述的一種用于Java開源組件安全檢測的方法,其特征在于,所述步驟S300具體包括:
步驟S310:上傳maven依賴包信息數據文件;
步驟S320:查詢maven開源依賴包安全數據庫,逐一對比maven依賴包信息,生成安全報告。
4.根據權利要求1所述的一種用于Java開源組件安全檢測的方法,其特征在于,所述步驟S100中的安全風險等級采用三個維度進行標注,三個個維度分別是授權許可驗證、病毒木馬檢測和安全漏洞檢測;
所述授權許可驗證的方法為:獲取開源組件的授權許可信息,根據授權許可信息進行安全風險分類;
所述病毒木馬檢測的方法為:通過集成現有病毒木馬檢測接口,對開源組件進行病毒木馬檢測;
所述安全漏洞檢測的方法為:通過集成現有安全漏洞掃描軟件接口,對開源組件進行漏洞檢測。
5.根據權利要求4所述的一種用于Java開源組件安全檢測的方法,其特征在于,所述步驟S300生成安全報告之前,還需要進行文件防篡改驗證并將驗證結果添加到安全報告中,所述文件防篡改驗證的方法為:對第二開源組件與第三開源組件分別進行MD5、SHA1和SHA256匹配,確定文件篡改風險等級。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于四川長虹電器股份有限公司,未經四川長虹電器股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010968713.2/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種交聯電纜紫外光輻照設備
- 下一篇:一種城市路網密度圖生成方法、介質及設備
