本發明面向開源軟件供應鏈安全提出了基于依賴項檢測和開源評分體系的NET平臺開源軟件供應鏈漏洞評分方法，可有針對性的解決對開源.Net軟件供應鏈場景下安全漏洞評分系統未考慮上下游依賴關系問題。該方法包括如下步驟：1)依賴項檢測：使用依賴項檢測程序獲取開源組件的上下游依賴項數據信息；2)開源評分體系：基于針對上下游依賴關系的評分指標提出開源評分體系及計分公式。在本發明中，運用NuGet平臺的依賴項檢測為開源漏洞評分提供了評判供應鏈上下游依賴關系影響程度的度量指標，開源評分體系對開源組件漏洞評估時能夠給出更加準確的嚴重性評分，最終形成的.Net開源供應鏈漏洞評分方法能有效提高.Net安全漏洞在嚴重性評分過程中的客觀性和全局性。

技術領域

本發明涉及一種基于依賴項檢測和開源評分體系的.Net開源供應鏈漏洞評分方法，適用 于開源工業組件的漏洞評估，同時考慮了軟件供應鏈上下游依賴關系因素的評分指標，提高 了安全評分系統針對開源工業組件漏洞評分的全局性和客觀性。

背景技術

由于信息技術的迭代和商業發展的需求，無數的企業團隊開始采用敏捷開發模式以提升 軟件開發的效率，而開源組件正好為開發者實現快速開發與技術創新提供了堅實的基礎。隨 著開源生態的逐步繁榮和工業互聯網的迅速興起，開源軟件供應鏈的安全問題日益凸顯。

開源生態中的工業組件若出現漏洞缺陷，開發團隊或者安全人員在缺陷被修復之前需對 組件進行安全評估，并告知組件使用者準確的危害程度及風險范圍。安全評估中的兩大重點 是風險要素的量化和缺陷的識別，這兩點直接關系到安全評估的準確性和客觀性。在信息安 全領域中，通用漏洞評分系統(CVSS)是針對軟件漏洞嚴重性的評分方法中最具有權威性的 行業標準。軟件漏洞公布后，CVSS將對其進行具體分析，最終得出量化評分，即一個從0 到10之間的具體分數，數值越大，風險等級越高。CVSS直觀通用、完全開放，它在產業界 的廣泛應用解決了大部分的安全漏洞評估問題，但依舊存在一些不足之處。

CVSS的三組度量標準可以得出三個分數，基礎評分、時限評分和環境評分。評分中的 部分指標因素定義模糊，實際操作中評分過于主觀。所以產業界的大部分廠商只會關注基礎 評分，對時限評分與環境評分的關注度較低，這大大降低了CVSS對安全漏洞或者組件缺陷 整體評估的準確性和客觀性。同時，CVSS的評分因素中沒有考慮開源生態的復雜性和軟件 供應鏈的組件依賴關系，而工業依賴項漏洞的實際危害性在很大程度上取決于軟件API的對 外暴露程度，這與該組件處于供應鏈的具體位置有著密不可分的關系。CVSS針對工業軟件 供應鏈場景下的度量指標不夠明確和細化，因此無法對目前開源軟件供應鏈中的工業組件漏 洞進行全面和有效的安全評估。

為了解決上述問題，本發明提出一種基于依賴項檢測和開源評分體系的.Net開源供應鏈 漏洞評分方法，以實現對開源組件漏洞更加合理和客觀全面的評估。使用基于NuGet開源平 臺API和自定義信息處理程序獲取開源組件的上下游依賴項數據，并為所提方法選取和定義 評判供應鏈上下游影響程度的度量指標，從而在對開源工業組件漏洞進行安全評估時做出更 加準確的嚴重性評分，有效提高安全漏洞評分系統的客觀性。

發明內容

本發明面向工業軟件供應鏈開源漏洞的安全評估問題，提出一種基于依賴項檢測和開源 評分體系的NET平臺開源軟件供應鏈漏洞評分方法。該方法針對開源軟件供應鏈場景中的工 業組件漏洞進行安全評估，首先在NuGet開源生態社區中對開源組件的上下游依賴關系進行 數據統計，并定義相關的指標區間；然后基于CVSS構建開源評分體系，開源評分體系中包 含依賴關系因素的評分指標；最后融合CVSS的計分公式和開源評分體系提出開源供應鏈漏 洞評分方法。該方法充分考慮了工業軟件供應鏈中的上下游依賴關系，對開源漏洞的嚴重性 進行評估時能夠給出更加合理的分數，有效提高了安全漏洞評分系統的客觀性。

為了達到上述發明目的，本發明通過以下具體技術方案進行實現：

一種基于依賴項檢測和開源評分體系的.Net開源供應鏈漏洞評分方法，其特征包括如下 步驟：