[发明专利]开源组件安全漏洞处理方法和装置

权利要求书

1.一种开源组件安全漏洞处理方法，其特征在于，所述方法包括：

扫描项目代码目录获取项目的开源组件信息；

从漏洞披露平台获取前一日发布的开源组件漏洞舆情信息；

将所述开源组件信息和所述开源组件漏洞舆情信息进行比对，获得比对结果一致的具有安全漏洞的待处理开源组件；

基于所述待处理开源组件的漏洞影响依赖树来确定所述待处理开源组件的漏洞修复优先度；

基于所述漏洞修复优先度修复所述待处理开源组件的安全漏洞。

2.如权利要求1所述的开源组件安全漏洞处理方法，其特征在于，所述扫描项目代码目录获取项目的开源组件信息包括：利用持续化集成工具对接代码仓库，实现扫描项目代码目录获取项目的开源组件信息。

3.如权利要求1所述的开源组件安全漏洞处理方法，其特征在于，所述的将所述开源组件信息和所述开源组件漏洞舆情信息进行比对包括：

将所述开源组件信息及所述开源组件漏洞舆情信中开源组件的名称及版本号进行比对。

4.如权利要求1所述的开源组件安全漏洞处理方法，其特征在于，所述获得比对结果一致的具有安全漏洞的待处理开源组件之后，所述方法还包括：

提取所述待处理开源组件的依赖树建立信息；

基于所述依赖树建立信息构建所述待处理开源组件的漏洞影响依赖树。

5.如权利要求4所述的开源组件安全漏洞处理方法，其特征在于，所述的基于所述依赖树建立信息构建所述待处理开源组件的漏洞影响依赖树包括：

以所述待处理开源组件的名称作为漏洞影响依赖树的根节点；

基于依赖树建立信息中的各个信息构建漏洞影响依赖树的分支节点和叶子节点。

6.如权利要求5所述的开源组件安全漏洞处理方法，其特征在于，所述的基于依赖树建立信息中的各个信息构建漏洞影响依赖树的分支节点和叶子节点包括：

判断所述待处理开源组件是否为互联网应用，若为互联网应用则在根节点下建立左侧第一层分支节点，若为内网应用则在根节点下建立右侧第一层分支节点，若既为互联网应用又为内网应用，则在根节点下建立左右两侧第一层分支节点；

判断所述待处理开源组件是否存在父组件，若存在父组件则在所述第一层分支节点下建立左侧第二层分支节点，若不存在父组件则在所述第一层分支节点下建立右侧第二层分支节点；

判断所述待处理开源组件在项目代码中所占比例是否大于开源组件均值比例，若大于，则在所述第二层分支节点下建立左侧第三层分支节点，若不大于，则在所述第二层分支节点下建立右侧第三层分支节点；

判断所述待处理开源组件所存在的漏洞是否有公开的漏洞验证程序或漏洞利用程序，若有，则在所述第三层分支节点下建立左侧第四层分支节点，若没有，则结束漏洞影响依赖树的构建，并将所述处理开源组件的漏洞修复优先度设为最低，即暂不进行漏洞修复；

判断所述待处理开源组件所存在的漏洞的危害程度，若为高危等级，则在所述第四层分支节点下建立左侧第五层分支节点，并在所述第五层分支节点下建立左侧叶子节点；若为中危等级，则在所述第四层分支节点下建立左侧叶子节点；若为低危等级，则在所述第四层分支节点下建立右侧叶子节点。

7.如权利要求6所述的开源组件安全漏洞处理方法，其特征在于，所述的基于所述待处理开源组件的漏洞影响依赖树来确定所述待处理开源组件的漏洞修复优先度包括：

当所述漏洞影响依赖树具有一个左侧分支节点或叶子节点，给优先度值赋值1分，当所述漏洞影响依赖树具有一个右侧分支节点或叶子节点，给优先度值赋值0.5分；

统计所述漏洞影响依赖树的优先度值总分；

根据所述优先度值总分确定所述待处理开源组件的漏洞修复优先度。