[发明专利]自动化漏洞验证方法及相关设备

权利要求书

1.一种自动化漏洞验证方法，其特征在于，应用于自动化漏洞验证系统，所述自动化漏洞验证系统包括应用系统和应用系统的镜像系统；

所述方法包括：

对所述应用系统进行检测，得到台账信息，并根据所述台账信息得到待验证信息列表；

基于所述待验证信息列表和所述应用系统的镜像系统进行验证，得到所述应用系统的漏洞验证结果信息，并根据所述漏洞验证结果信息对所述台账信息进行更新。

2.根据权利要求1所述的方法，其特征在于，所述应用系统包括代码仓库；

所述对所述应用系统进行检测，得到台账信息，包括：

根据所述应用系统中所述代码仓库的源代码和所述自动化漏洞验证系统预先设置的漏洞库信息进行对比检测，得到所述台账信息。

3.根据权利要求1所述的方法，其特征在于，所述台账信息包括下列至少之一：

组件名称信息、组件版本信息、组件等级信息、代码仓信息、产品标识信息、推荐使用版本信息和漏洞分布信息。

4.根据权利要求3所述的方法，其特征在于，所述组件等级信息包括危险信息和无漏洞信息，其中，所述危险信息包括超危信息、高危信息、中危信息和低危信息；

所述根据所述台账信息得到待验证信息列表，包括：

根据所述组件等级信息将属于所述超危信息、所述高危信息、所述中危信息和所述低危信息对应的组件等级信息的台账信息进行筛选整合，得到所述待验证信息列表。

5.根据权利要求1所述的方法，其特征在于，所述基于所述待验证信息列表和所述应用系统的镜像系统进行验证，得到所述应用系统的漏洞验证结果信息，包括：

基于所述待验证信息列表构建验证脚本信息；

基于所述应用系统的镜像系统通过所述验证脚本信息进行验证，得到所述应用系统的所述漏洞验证结果信息。

6.根据权利要求3所述的方法，其特征在于，所述漏洞验证结果信息包括受漏洞影响和不受漏洞影响；

所述根据所述漏洞验证结果信息对所述台账信息进行更新，包括：

响应于确定所述漏洞验证结果信息为不受漏洞影响，将所述台账信息中的所述漏洞分布信息调整为不受漏洞影响。

7.根据权利要求5所述的方法，其特征在于，所述待验证信息列表包括漏洞分布信息；

所述基于所述待验证信息列表构建验证脚本信息，包括：

根据所述待验证信息列表的所述漏洞分布信息获取漏洞特性信息；

基于全部漏洞特性信息构建所述验证脚本信息。

8.一种自动化漏洞验证系统，其特征在于，自动化漏洞验证系统包括应用系统和应用系统的镜像系统；

漏洞检测模块，被配置为对所述应用系统进行检测，得到台账信息，并根据所述台账信息得到待验证信息列表；

漏洞验证模块，被配置为基于所述待验证信息列表和所述应用系统的镜像系统进行验证，得到所述应用系统的漏洞验证结果信息，并根据所述漏洞验证结果信息对所述台账信息进行更新。

9.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至7任意一项所述的方法。

10.一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，其特征在于，所述计算机指令用于使计算机执行权利要求1至7任一所述方法。