[发明专利]一种基于依赖项检测和开源评分体系的NET平台开源软件供应链漏洞评分方法

说明书

本发明面向开源软件供应链安全提出了基于依赖项检测和开源评分体系的NET平台开源软件供应链漏洞评分方法，可有针对性的解决对开源.Net软件供应链场景下安全漏洞评分系统未考虑上下游依赖关系问题。该方法包括如下步骤：1)依赖项检测：使用依赖项检测程序获取开源组件的上下游依赖项数据信息；2)开源评分体系：基于针对上下游依赖关系的评分指标提出开源评分体系及计分公式。在本发明中，运用NuGet平台的依赖项检测为开源漏洞评分提供了评判供应链上下游依赖关系影响程度的度量指标，开源评分体系对开源组件漏洞评估时能够给出更加准确的严重性评分，最终形成的.Net开源供应链漏洞评分方法能有效提高.Net安全漏洞在严重性评分过程中的客观性和全局性。

技术领域

本发明涉及一种基于依赖项检测和开源评分体系的.Net开源供应链漏洞评分方法，适用 于开源工业组件的漏洞评估，同时考虑了软件供应链上下游依赖关系因素的评分指标，提高 了安全评分系统针对开源工业组件漏洞评分的全局性和客观性。

背景技术

由于信息技术的迭代和商业发展的需求，无数的企业团队开始采用敏捷开发模式以提升 软件开发的效率，而开源组件正好为开发者实现快速开发与技术创新提供了坚实的基础。随 着开源生态的逐步繁荣和工业互联网的迅速兴起，开源软件供应链的安全问题日益凸显。

开源生态中的工业组件若出现漏洞缺陷，开发团队或者安全人员在缺陷被修复之前需对 组件进行安全评估，并告知组件使用者准确的危害程度及风险范围。安全评估中的两大重点 是风险要素的量化和缺陷的识别，这两点直接关系到安全评估的准确性和客观性。在信息安 全领域中，通用漏洞评分系统(CVSS)是针对软件漏洞严重性的评分方法中最具有权威性的 行业标准。软件漏洞公布后，CVSS将对其进行具体分析，最终得出量化评分，即一个从0 到10之间的具体分数，数值越大，风险等级越高。CVSS直观通用、完全开放，它在产业界 的广泛应用解决了大部分的安全漏洞评估问题，但依旧存在一些不足之处。

CVSS的三组度量标准可以得出三个分数，基础评分、时限评分和环境评分。评分中的 部分指标因素定义模糊，实际操作中评分过于主观。所以产业界的大部分厂商只会关注基础 评分，对时限评分与环境评分的关注度较低，这大大降低了CVSS对安全漏洞或者组件缺陷 整体评估的准确性和客观性。同时，CVSS的评分因素中没有考虑开源生态的复杂性和软件 供应链的组件依赖关系，而工业依赖项漏洞的实际危害性在很大程度上取决于软件API的对 外暴露程度，这与该组件处于供应链的具体位置有着密不可分的关系。CVSS针对工业软件 供应链场景下的度量指标不够明确和细化，因此无法对目前开源软件供应链中的工业组件漏 洞进行全面和有效的安全评估。

为了解决上述问题，本发明提出一种基于依赖项检测和开源评分体系的.Net开源供应链 漏洞评分方法，以实现对开源组件漏洞更加合理和客观全面的评估。使用基于NuGet开源平 台API和自定义信息处理程序获取开源组件的上下游依赖项数据，并为所提方法选取和定义 评判供应链上下游影响程度的度量指标，从而在对开源工业组件漏洞进行安全评估时做出更 加准确的严重性评分，有效提高安全漏洞评分系统的客观性。

发明内容

本发明面向工业软件供应链开源漏洞的安全评估问题，提出一种基于依赖项检测和开源 评分体系的NET平台开源软件供应链漏洞评分方法。该方法针对开源软件供应链场景中的工 业组件漏洞进行安全评估，首先在NuGet开源生态社区中对开源组件的上下游依赖关系进行 数据统计，并定义相关的指标区间；然后基于CVSS构建开源评分体系，开源评分体系中包 含依赖关系因素的评分指标；最后融合CVSS的计分公式和开源评分体系提出开源供应链漏 洞评分方法。该方法充分考虑了工业软件供应链中的上下游依赖关系，对开源漏洞的严重性 进行评估时能够给出更加合理的分数，有效提高了安全漏洞评分系统的客观性。

为了达到上述发明目的，本发明通过以下具体技术方案进行实现：

一种基于依赖项检测和开源评分体系的.Net开源供应链漏洞评分方法，其特征包括如下 步骤：