[发明专利]软件供应链威胁确定方法、装置、设备及存储介质

说明书

本公开提供了一种软件供应链威胁确定方法、装置、设备及存储介质，涉及安全技术领域。该方法包括：提取软件供应链的流程图中的目标文本信息，所述软件供应链的流程图包含软件供应链中的多个供应场景信息以及多个供应节点信息，将所述目标文本信息与预先确定的威胁场景文本信息进行匹配，在存在与所述目标文本信息匹配的威胁场景文本信息的情况下，根据匹配到的威胁场景文本信息与预先确定的威胁场景文本信息与威胁点信息的对应关系确定在所述软件供应链中存在的威胁点信息，能够提高确定软件供应链威胁的效率与准确性。

技术领域

本公开涉及安全技术领域，尤其涉及一种软件供应链威胁确定方法、装置、设备及存储介质。

背景技术

软件供应链是指软件从软件供应商到达用户并被用户使用的整个过程中相关环节的连接，从软件设计开始，到代码编写与软件生成，再到软件分发与用户下载，并最终由用户使用的一个软件供应商与软件用户之间的链状结构。

由于软件供应链涉及多个环节，所以在任意一个环节发生污染的情况下，就会对下游的环节产生影响。所以对软件供应链进行威胁检测时，需要对软件供应链的多个环节进行威胁检测。

当前对软件供应链的威胁检测主要是采用人工检测的方法，而利用人工检测的方法会使得当前的检测存在检测效率低、准确率差的问题。

发明内容

本公开提供一种软件供应链威胁确定方法、装置、设备及存储介质，至少在一定程度上克服了当前人工检测的检测效率低、准确率差的问题。

本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

根据本公开的一个方面，提供一种软件供应链威胁确定方法，，方法包括：

提取软件供应链的流程图中的目标文本信息，软件供应链的流程图包含软件供应链中的多个供应场景信息以及多个供应节点信息；

将目标文本信息与预先确定的威胁场景文本信息进行匹配；

在存在与目标文本信息匹配的威胁场景文本信息的情况下，根据匹配到的威胁场景文本信息与预先确定的威胁场景文本信息与威胁点信息的对应关系确定在软件供应链中存在的威胁点信息。

在本公开的一个实施例中，在提取软件供应链的流程图中的目标文本信息之前，方法还包括：

获取软件供应链中的供应场景信息以及供应节点信息；

根据软件供应链中的供应场景信息以及供应节点信息构建软件供应链的流程图。

在本公开的一个实施例中，提取软件供应链的流程图中的目标文本信息，软件供应链的流程图包含软件供应链中的多个供应场景信息以及多个供应节点信息，包括：

根据预设算法在软件供应链的流程图中的多个供应场景信息以及多个供应节点信息中确定目标文本信息。

在本公开的一个实施例中，在将目标文本信息与预先确定的威胁场景文本信息进行匹配之前，方法还包括：

根据历史供应场景信息确定威胁场景文本信息。

在本公开的一个实施例中，在根据匹配到的威胁场景文本信息与预先确定的威胁场景文本信息与威胁点信息的对应关系确定在软件供应链中存在的威胁点信息之前，方法还包括：

根据历史供应节点信息确定威胁点信息；

建立威胁场景文本信息与威胁点信息的对应关系。

在本公开的一个实施例中，供应场景信息包括开发场景信息、交付场景信息以及使用场景信息。

在本公开的一个实施例中，供应节点信息包括：供应场景下的多个供应节点、开发场景下的多个开发节点以及使用场景下的多个使用节点。