本發明提供了一種基于SCA工具的數據庫維護方法、裝置及可讀存儲介質，其中，方法包括：獲取一類開源組件的信息；基于SCA工具，對一類開源組件的信息進行檢測，若對一類開源組件的信息的檢測結果為安全，則將一類開源組件的信息維護至私有庫；獲取二類開源組件的信息；基于SCA工具，對二類開源組件的信息進行分析，若對二類開源組件的信息的分析結果為安全，則將二類開源組件的信息維護至私有庫。本發明在維護企業私有庫的兩種途徑中，均利用SCA工具進行檢測、分析工作，使得企業私有庫具備足夠的安全保障，提升企業私有庫的安全性，更進一步保障企業的利益。

技術領域

本發明涉及軟件信息維護技術領域，尤其是指一種基于SCA工具的數據庫維護方法、裝置及可讀存儲介質。

背景技術

開源組件主要被散布在全世界的編程者隊伍開發，同時一些大學，政府機構承包商，協會和商業公司也會對開源組件進行開發。開源組件的源代碼的開放性，是信息技術發展引發網絡革命所帶來的面向未來以開放創新、共同創新為特點的、以人為本的創新2.0模式在軟件行業的典型體現和生動注解。由于開源組件的源碼分發是實現交叉平臺可移植性的唯一實際可行的辦法，且諸如UNIX，Internet等系統中存在許多需要開源組件支持的硬件，所以，開源組件在歷史上，曾經與UNIX，Internet之間具有非常緊密的聯系。

目前，軟件開發人員廣泛使用開源組件，事實上，據估計，每個應用程序的80-90％都是由開源組件組成的。Synopsys的研究顯示，在軟件應用程序中被使用的第三方組件，有一半已經過時，很可能存在安全隱患。另一份來自Black Duck的報告稱，使用開源組件的所有應用程序中，超過60％包含已知的軟件漏洞，而對于企業來說，這些已知的軟件漏洞是致命的。大部分企業內部都會建立一個私有庫（此處的私有庫是一個開源組件數據庫，用于存儲于企業內網環境中，企業內部開發應用程序所用到的開源組件），維護該私有庫的途徑一般分為兩種：其一，先從外網下載開源組件，再將開源組件維護至私有庫；其二，企業內部某一應用開發一開源組件，將此開源組件維護至私有庫。不管私有庫通過哪種途徑進行維護，都沒有足夠的安全保障，進而導致私有庫的安全性較差，更無法保障企業的利益。

因此，有必要對上述私有庫的維護方法進行改進。

發明內容

本發明所要解決的技術問題是：提供一種基于SCA工具的數據庫維護方法、裝置及可讀存儲介質，旨在解決企業私有庫安全性較差的問題。

為了解決上述技術問題，本發明采用的技術方案為：

本發明實施例第一方面提供了一種基于SCA工具的數據庫維護方法，所述方法應用于企業內部私有庫的數據維護，所述私有庫包括企業內部應用程序開發所用的開源組件，所述開源組件包括一類開源組件和二類開源組件，所述一類開源組件為從云服務下載至私有庫的開源組件，所述二類開源組件為企業內部應用上傳至私有庫的開源組件，所述方法包括：

獲取所述一類開源組件的信息；

基于SCA工具，對所述一類開源組件的信息進行檢測，若對所述一類開源組件的信息的檢測結果為安全，則將所述一類開源組件的信息維護至私有庫；

獲取所述二類開源組件的信息；

基于SCA工具，對所述二類開源組件的信息進行分析，若對所述二類開源組件的信息的分析結果為安全，則將所述二類開源組件的信息維護至私有庫。

在一些實施方案中，所述SCA工具包括開源組件的版本信息庫、漏洞信息庫及許可信息庫，所述版本信息庫包括指紋信息，所述版本信息庫內的指紋信息對應于漏洞信息庫中的漏洞信息及許可信息庫中的許可信息，所述一類開源組件的信息包括一類開源組件的版本信息，所述基于SCA工具，對所述一類開源組件的信息進行檢測，具體包括：

匹配所述一類開源組件的版本信息和版本信息庫；