【技術(shù)實(shí)現(xiàn)步驟摘要】
本專利技術(shù)實(shí)施例涉及信息安全,尤其涉及一種依賴風(fēng)險(xiǎn)版本自動(dòng)禁用方法、設(shè)備及介質(zhì)。
技術(shù)介紹
1、在計(jì)算機(jī)系統(tǒng)開發(fā)中,新項(xiàng)目的開發(fā)集成部署運(yùn)行與第三方(開源組織或商業(yè)組織)發(fā)布的中間組件緊密聯(lián)系,比如集成系統(tǒng)運(yùn)行時(shí)常見的日志輸出組件log4j、數(shù)據(jù)庫(kù)中間件,以及各種工具類中間件。而這些中間組件在自身的版本迭代中總是會(huì)留下一些有高危攻擊性漏洞或重大bug的版本,比如log4j2可遠(yuǎn)程攻擊相關(guān)的day0漏洞等。如果業(yè)務(wù)系統(tǒng)引用了這些有漏洞的組件,將面臨巨大的風(fēng)險(xiǎn),信息數(shù)據(jù)隨時(shí)有可能被盜取泄漏。
2、現(xiàn)有技術(shù)中,大部分系統(tǒng)開發(fā)都依賴于開發(fā)規(guī)范的約束或人為代碼檢查來避免風(fēng)險(xiǎn)組件。但隨著三方組件漏洞層出不窮,歷史已知的漏洞組件版本繁多,上述方式很難保證系統(tǒng)安全。
技術(shù)實(shí)現(xiàn)思路
1、本申請(qǐng)實(shí)施例提供了一種依賴風(fēng)險(xiǎn)版本自動(dòng)禁用方法、設(shè)備及介質(zhì),在項(xiàng)目構(gòu)建和項(xiàng)目運(yùn)行階段自動(dòng)識(shí)別并阻斷高危風(fēng)險(xiǎn)組件,保證系統(tǒng)安全。
2、第一方面,本專利技術(shù)實(shí)施例提供了一種依賴風(fēng)險(xiǎn)版本自動(dòng)禁用方法,包括:
3、在項(xiàng)目構(gòu)建流程中,對(duì)項(xiàng)目集成包的各依賴組件進(jìn)行指紋分析,并利用各依賴組件的md5(message-digestalgorithm5,信息-摘要算法)指紋,首次出現(xiàn)加全稱指紋與依賴風(fēng)險(xiǎn)版本庫(kù)比對(duì),以檢測(cè)各依賴組件是否存在漏洞風(fēng)險(xiǎn);如果任一依賴組件存在漏洞風(fēng)險(xiǎn),禁用所述依賴組件并終止項(xiàng)目構(gòu)建,或替換為安全版本繼續(xù)項(xiàng)目構(gòu)建;如果各依賴組件均無漏洞風(fēng)險(xiǎn),繼續(xù)項(xiàng)目構(gòu)建;
4、完
5、其中,所述依賴風(fēng)險(xiǎn)版本庫(kù)包括:多個(gè)依賴組件的名稱、風(fēng)險(xiǎn)版本信息、安全版本信息,以及各版本文件的md5指紋;所述利用各依賴組件的md5指紋與依賴風(fēng)險(xiǎn)版本庫(kù)比對(duì),以檢測(cè)各依賴組件是否存在漏洞風(fēng)險(xiǎn),包括:針對(duì)任一依賴組件,搜索所述依賴風(fēng)險(xiǎn)版本庫(kù)中名稱相同的目標(biāo)依賴組件;如果存在以下情況,確定所述任一依賴組件存在漏洞風(fēng)險(xiǎn):所述任一依賴組件的版本信息與所述目標(biāo)依賴組件的風(fēng)險(xiǎn)版本信息匹配;或所述任一依賴組件的版本信息與所述目標(biāo)依賴組件的安全版本信息匹配,且所述任一依賴組件的md5指紋與所述目標(biāo)依賴組件的安全版本文件的md5指紋不匹配;
6、所述依賴風(fēng)險(xiǎn)版本庫(kù)的構(gòu)建方式包括:通過自動(dòng)化腳本調(diào)用所有項(xiàng)目的*.tar.gz包或*.war包;利用jar或tar命令輸出各項(xiàng)目集成包中的文件名稱,并根據(jù)依賴組件的命名規(guī)則識(shí)別當(dāng)前正在引用的依賴組件名稱,識(shí)別成功后以{組件名稱,入庫(kù)時(shí)間,版本號(hào),入庫(kù)原因,是否存在漏洞,漏洞級(jí)別,文件md5指紋}的數(shù)據(jù)結(jié)構(gòu)添加入庫(kù),其中,在根據(jù)命名規(guī)則識(shí)別當(dāng)前正在應(yīng)用的依賴組件名稱時(shí),根據(jù)設(shè)定優(yōu)先級(jí),按照各種形式的命名規(guī)則逐一解析文件名稱,當(dāng)按照任意一種形式的命名規(guī)則解析成功時(shí),表明該文件名稱為一依賴組件名稱。
7、第二方面,本專利技術(shù)實(shí)施例提供一種電子設(shè)備,包括:
8、一個(gè)或多個(gè)處理器;
9、存儲(chǔ)器,用于存儲(chǔ)一個(gè)或多個(gè)程序,
10、當(dāng)所述一個(gè)或多個(gè)程序被所述一個(gè)或多個(gè)處理器執(zhí)行,使得所述一個(gè)或多個(gè)處理器實(shí)現(xiàn)上述的依賴風(fēng)險(xiǎn)版本自動(dòng)禁用方法。
11、第三方面,本專利技術(shù)實(shí)施例提供一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),其上存儲(chǔ)有計(jì)算機(jī)程序,該程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)上述的依賴風(fēng)險(xiǎn)版本自動(dòng)禁用方法。
12、本專利技術(shù)實(shí)施例提供一種依賴風(fēng)險(xiǎn)版本自動(dòng)禁用方法,通過依賴風(fēng)險(xiǎn)版本庫(kù)為組件安全提供最新的對(duì)照依據(jù)。在具體的項(xiàng)目構(gòu)建流程中添加對(duì)依賴組件的安全檢測(cè)環(huán)節(jié),通過各組件文件的md5指紋與依賴風(fēng)險(xiǎn)版本庫(kù)中的組件一一比對(duì),提高安全檢測(cè)的準(zhǔn)確性;如果存在漏洞風(fēng)險(xiǎn)則立即阻止持續(xù)構(gòu)建流程并替換安全版本,阻斷風(fēng)險(xiǎn)擴(kuò)散。對(duì)于采用欺騙手段繞過檢測(cè)的風(fēng)險(xiǎn)組件,則通過項(xiàng)目運(yùn)行流程中的進(jìn)程監(jiān)控再次提取組件文件的md5指紋,與依賴風(fēng)險(xiǎn)版本庫(kù)中的組件進(jìn)行二次比對(duì);如果存在漏洞風(fēng)險(xiǎn)則立即阻止持續(xù)構(gòu)建流程,阻斷風(fēng)險(xiǎn)擴(kuò)散。通過以上的雙重掃描、雙重比對(duì)、雙重阻斷避免遺漏,使得在項(xiàng)目集成構(gòu)建階段或系統(tǒng)啟動(dòng)運(yùn)行時(shí),就能夠自動(dòng)識(shí)別、攔截、阻斷具有風(fēng)險(xiǎn)漏洞三方依賴組件,避免系統(tǒng)在生產(chǎn)運(yùn)行環(huán)境下產(chǎn)生相關(guān)高危風(fēng)險(xiǎn)。
本文檔來自技高網(wǎng)...【技術(shù)保護(hù)點(diǎn)】
1.一種依賴風(fēng)險(xiǎn)版本自動(dòng)禁用方法,其特征在于,包括:
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述對(duì)項(xiàng)目集成包的各依賴組件進(jìn)行指紋分析,包括:
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,在所述利用各依賴組件的md5指紋與依賴風(fēng)險(xiǎn)版本庫(kù)比對(duì),以檢測(cè)各依賴組件是否存在漏洞風(fēng)險(xiǎn)之后,還包括:
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述依賴風(fēng)險(xiǎn)版本庫(kù)的構(gòu)建方式還包括:
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,從外部漏洞信息庫(kù)中爬取各依賴組件的安全信息更新至所述依賴風(fēng)險(xiǎn)版本庫(kù),包括:
6.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述提取新建進(jìn)程的各依賴組件進(jìn)行指紋分析,包括:
7.根據(jù)權(quán)利要求1所述的方法,其特征在于,在所述如果任一依賴組件存在漏洞風(fēng)險(xiǎn),禁用所述依賴組件并終止項(xiàng)目運(yùn)行,或替換為安全版本繼續(xù)運(yùn)行之后,還包括:
8.一種電子設(shè)備,其特征在于,包括:
9.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì),其上存儲(chǔ)有計(jì)算機(jī)程序,其特征在于,該程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1-7中任一所述的依賴風(fēng)險(xiǎn)版本自動(dòng)
...【技術(shù)特征摘要】
1.一種依賴風(fēng)險(xiǎn)版本自動(dòng)禁用方法,其特征在于,包括:
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述對(duì)項(xiàng)目集成包的各依賴組件進(jìn)行指紋分析,包括:
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,在所述利用各依賴組件的md5指紋與依賴風(fēng)險(xiǎn)版本庫(kù)比對(duì),以檢測(cè)各依賴組件是否存在漏洞風(fēng)險(xiǎn)之后,還包括:
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述依賴風(fēng)險(xiǎn)版本庫(kù)的構(gòu)建方式還包括:
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,從外部漏洞信息庫(kù)中爬取各依賴組件的安全信息...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:李定坤,宋子龍,
申請(qǐng)(專利權(quán))人:叮當(dāng)快藥科技集團(tuán)有限公司,
類型:發(fā)明
國(guó)別省市:
還沒有人留言評(píng)論。發(fā)表了對(duì)其他瀏覽者有用的留言會(huì)獲得科技券。