[發(fā)明專利]基于SCA工具的數(shù)據(jù)庫維護(hù)方法、裝置及可讀存儲(chǔ)介質(zhì)有效

申請(qǐng)?zhí)枺?/td>	202011159371.6	申請(qǐng)日：	2020-10-27
公開（公告）號(hào)：	CN112016100B	公開（公告）日：	2021-01-29
發(fā)明（設(shè)計(jì)）人：	汪杰;萬振華;王頡;董燕;李華	申請(qǐng)（專利權(quán)）人：	深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司
主分類號(hào)：	G06F21/57	分類號(hào)：	G06F21/57;G06F8/71
代理公司：	深圳市恒申知識(shí)產(chǎn)權(quán)事務(wù)所(普通合伙) 44312	代理人：	龍丹丹
地址：	518100 廣東省深圳市龍華區(qū)龍華***	國省代碼：	廣東;44
權(quán)利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關(guān)鍵詞：	基于 sca 工具數(shù)據(jù)庫維護(hù) 方法裝置可讀存儲(chǔ) 介質(zhì)
鉆瓜網(wǎng) 技術(shù)展會(huì) 專利詞庫專利權(quán)人專利榜在售專利公布日期熱門專利

【權(quán)利要求書】：

1.一種基于SCA工具的數(shù)據(jù)庫維護(hù)方法，其特征在于，所述方法應(yīng)用于企業(yè)內(nèi)部私有庫的數(shù)據(jù)維護(hù)，所述私有庫包括企業(yè)內(nèi)部應(yīng)用程序開發(fā)所用的開源組件，所述開源組件包括一類開源組件和二類開源組件，所述一類開源組件為從云服務(wù)下載至私有庫的開源組件，所述二類開源組件為企業(yè)內(nèi)部應(yīng)用上傳至私有庫的開源組件，所述SCA工具包括開源組件的版本信息庫、漏洞信息庫及許可信息庫，所述版本信息庫包括指紋信息，所述版本信息庫內(nèi)的指紋信息對(duì)應(yīng)于漏洞信息庫中的漏洞信息及許可信息庫中的許可信息，所述方法包括：

獲取所述一類開源組件的信息；

基于SCA工具，對(duì)所述一類開源組件的信息進(jìn)行檢測(cè)，若對(duì)所述一類開源組件的信息的檢測(cè)結(jié)果為安全，則將所述一類開源組件的信息維護(hù)至私有庫；

獲取所述二類開源組件的信息；

基于SCA工具，對(duì)所述二類開源組件的信息進(jìn)行分析，若對(duì)所述二類開源組件的信息的分析結(jié)果為安全，則將所述二類開源組件的信息維護(hù)至私有庫；

其中，所述二類開源組件的信息包括二類開源組件的源碼片段指紋信息和第三方開源組件的依賴配置信息，所述SCA工具還包括開源組件的源碼指紋信息庫，所述基于SCA工具，對(duì)所述二類開源組件的信息進(jìn)行分析，具體包括：

匹配所述二類開源組件的源碼片段指紋信息和源碼指紋信息庫；

若匹配結(jié)果一致，則得到三類開源組件，所述三類開源組件為二類開源組件的源碼所拷貝的開源組件；

獲取所述三類開源組件的版本信息，并基于所述版本信息庫與漏洞信息庫及許可信息庫的對(duì)應(yīng)關(guān)系，判斷所述三類開源組件是否存在漏洞和/或具有安全風(fēng)險(xiǎn)的許可；

分析所述第三方開源組件的依賴配置信息，得到四類開源組件，所述四類開源組件為二類開源組件所引用的直接依賴或間接依賴的開源組件；

獲取所述四類開源組件的版本信息，并基于所述版本信息庫與漏洞信息庫及許可信息庫的對(duì)應(yīng)關(guān)系，判斷所述四類開源組件是否存在漏洞和/或具有安全風(fēng)險(xiǎn)的許可；

其中，若所述三類開源組件和四類開源組件均不存在漏洞和/或具有安全風(fēng)險(xiǎn)的許可，則對(duì)所述二類開源組件的信息的分析結(jié)果為安全。

2.如權(quán)利要求1所述的基于SCA工具的數(shù)據(jù)庫維護(hù)方法，其特征在于，所述一類開源組件的信息包括一類開源組件的版本信息，所述基于SCA工具，對(duì)所述一類開源組件的信息進(jìn)行檢測(cè)，具體包括：

匹配所述一類開源組件的版本信息和版本信息庫；

若匹配結(jié)果一致，則基于所述版本信息庫與漏洞信息庫及許可信息庫的對(duì)應(yīng)關(guān)系，判斷所述一類開源組件是否存在漏洞和/或具有安全風(fēng)險(xiǎn)的許可；

若匹配結(jié)果不一致，則獲取所述一類開源組件的漏洞信息和許可信息，并將所述一類開源組件的版本信息、漏洞信息及許可信息對(duì)應(yīng)存儲(chǔ)至版本信息庫、漏洞信息庫及許可信息庫；

基于所述版本信息庫與漏洞信息庫及許可信息庫的對(duì)應(yīng)關(guān)系，判斷所述一類開源組件是否存在漏洞和/或具有安全風(fēng)險(xiǎn)的許可；

其中，若所述一類開源組件不存在漏洞和/或具有安全風(fēng)險(xiǎn)的許可，則對(duì)所述一類開源組件的信息的檢測(cè)結(jié)果為安全。

3.如權(quán)利要求2所述的基于SCA工具的數(shù)據(jù)庫維護(hù)方法，其特征在于，若所述一類開源組件存在漏洞和/或具有安全風(fēng)險(xiǎn)的許可，則對(duì)所述一類開源組件的信息的檢測(cè)結(jié)果為危險(xiǎn)，所述SCA工具還包括預(yù)警中心，所述若對(duì)所述一類開源組件的信息的檢測(cè)結(jié)果為安全，則將所述一類開源組件的信息維護(hù)至私有庫，還包括：

若對(duì)所述一類開源組件的信息的檢測(cè)結(jié)果為危險(xiǎn)，則將所述一類開源組件的信息發(fā)送至預(yù)警中心進(jìn)行預(yù)警。

4.如權(quán)利要求3所述的基于SCA工具的數(shù)據(jù)庫維護(hù)方法，其特征在于，所述基于SCA工具，對(duì)所述一類開源組件的信息進(jìn)行檢測(cè)，還包括：

若未獲取到所述一類開源組件的漏洞信息和許可信息，則將所述一類開源組件的版本信息發(fā)送至預(yù)警中心進(jìn)行預(yù)警。

下載完整專利技術(shù)內(nèi)容需要扣除積分，VIP會(huì)員可以免費(fèi)下載。

免登錄下載普通用戶下載升級(jí)VIP會(huì)員，免費(fèi)下載

該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息，商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司，未經(jīng)深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司許可，擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作，請(qǐng)聯(lián)系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/202011159371.6/1.html，轉(zhuǎn)載請(qǐng)聲明來源鉆瓜專利網(wǎng)。