CN117499104A - 供应链安全管控方法、装置和安全管控系统 - Google Patents
供应链安全管控方法、装置和安全管控系统 Download PDFInfo
- Publication number
- CN117499104A CN117499104A CN202311443006.1A CN202311443006A CN117499104A CN 117499104 A CN117499104 A CN 117499104A CN 202311443006 A CN202311443006 A CN 202311443006A CN 117499104 A CN117499104 A CN 117499104A
- Authority
- CN
- China
- Prior art keywords
- information
- software
- node
- code
- nodes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 91
- 238000012038 vulnerability analysis Methods 0.000 claims abstract description 61
- 230000002159 abnormal effect Effects 0.000 claims abstract description 21
- 238000012360 testing method Methods 0.000 claims description 133
- 230000006870 function Effects 0.000 claims description 82
- 238000004458 analytical method Methods 0.000 claims description 78
- 238000007726 management method Methods 0.000 claims description 77
- 238000001514 detection method Methods 0.000 claims description 37
- 238000012423 maintenance Methods 0.000 claims description 26
- 230000003068 static effect Effects 0.000 claims description 25
- 238000003860 storage Methods 0.000 claims description 21
- 238000012502 risk assessment Methods 0.000 claims description 14
- 238000005516 engineering process Methods 0.000 claims description 9
- 238000002347 injection Methods 0.000 claims description 9
- 239000007924 injection Substances 0.000 claims description 9
- 238000013522 software testing Methods 0.000 claims description 9
- 230000005856 abnormality Effects 0.000 claims description 8
- 238000013515 script Methods 0.000 claims description 6
- 230000008569 process Effects 0.000 description 27
- 238000012545 processing Methods 0.000 description 26
- 230000008439 repair process Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 14
- 238000004590 computer program Methods 0.000 description 11
- 238000011161 development Methods 0.000 description 11
- 238000012544 monitoring process Methods 0.000 description 11
- 230000001276 controlling effect Effects 0.000 description 10
- 238000013461 design Methods 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 8
- 230000006872 improvement Effects 0.000 description 8
- 239000000243 solution Substances 0.000 description 8
- 230000000694 effects Effects 0.000 description 7
- 230000007547 defect Effects 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 6
- 238000012795 verification Methods 0.000 description 6
- 238000013480 data collection Methods 0.000 description 4
- 238000013508 migration Methods 0.000 description 4
- 230000005012 migration Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000007405 data analysis Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000011897 real-time detection Methods 0.000 description 3
- 230000001105 regulatory effect Effects 0.000 description 3
- 238000012954 risk control Methods 0.000 description 3
- 238000013068 supply chain management Methods 0.000 description 3
- 238000012356 Product development Methods 0.000 description 2
- 238000004140 cleaning Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000002349 favourable effect Effects 0.000 description 2
- 238000005206 flow analysis Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000011056 performance test Methods 0.000 description 2
- 238000012552 review Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000003442 weekly effect Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本申请提供了一种供应链安全管控方法、装置和安全管控系统。该方法包括:获取供应链上的所有的节点,获取所有的节点的运行信息,根据制度管理信息对节点进行漏洞分析,确定是否有存在漏洞的目标节点,在存在目标节点的情况下生成第一预警信息,其中,节点的数量大于或者等于目标节点的数量,制度管理信息为预先配置的对每个节点输出的信息进行验证的规则信息。该方案可以结合供应链以及项目软件的生命周期进行管控,动态管控整个供应链上的可能产生的风险,如果供应链上任意一个生命周期的节点出现异常都可以检测到,通过本方案可以快速定位到异常的节点,这样可以保护整个供应链的安全。
Description
技术领域
本申请涉及信息安全技术领域,具体而言,涉及一种供应链安全管控方法、装置、计算机可读存储介质和安全管控系统。
背景技术
受当前网络安全对抗不断升级、开源组件广泛使用等因素影响,软件供应链安全形势变得越发严峻。供应链安全问题所带来的广泛性威胁和供应链攻击所引发的安全问题更是以波及范围广、修复周期长、损害程度深的特点而令业界担忧。而目前的供应链管控仅仅在于第三方组件的检测,无法对供应链中的所有的环节进行安全管控。
发明内容
本申请的主要目的在于提供一种供应链安全管控方法、装置、计算机可读存储介质和安全管控系统,以至少解决现有技术中无法对供应链中的所有的环节进行安全管控的问题。
为了实现上述目的,根据本申请的一个方面,提供了一种供应链安全管控方法,包括:获取供应链上的所有的节点,其中,所述供应链包括软件生命周期的所有的环节,所述节点包括软件需求分析节点、软件设计节点、软件编码节点、软件测试节点、软件发布节点、软件运维节点和软件废弃节点;获取所有的所述节点的运行信息,其中,所述运行信息包括获取所有的所述节点的运行信息,其中,所述运行信息包括所述软件需求分析节点输出的软件需求信息,所述软件设计节点输出的功能说明信息,所述软件编码节点输出的代码信息,所述软件测试节点输出的测试信息,所述软件发布节点输出的发布信息,所述软件运维节点输出的运维信息,所述软件废弃节点输出的结束信息,所述软件需求信息包括功能需求、性能需求、界面需求和数据需求中的一个或者多个,所述功能说明信息包括界面功能说明信息、安全功能说明信息、接口功能说明信息和数据库功能说明信息中的一个或者多个,所述代码信息为软件的源代码或者编译后的机器代码,所述测试信息包括测试计划、测试用例、测试环境、测试日志和测试报告中的一个或者多个,所述发布信息包括版本号、发布日期和更新内容中的一个或者多个,所述运维信息包括配置信息、日志信息、数据库信息和反馈信息中的一个或者多个,所述结束信息包括废弃风险评估报告、废弃决策和废弃文档中的一个或者多个;根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点,在存在所述目标节点的情况下生成第一预警信息,其中,所述节点的数量大于或者等于所述目标节点的数量,所述制度管理信息为预先配置的对每个所述节点输出的信息进行验证的规则信息。
可选地,根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点,包括:采用静态代码分析工具对所述软件编码节点输出的所述代码信息进行扫描分析,确定所述代码信息是否符合第一预设条件,采用漏洞扫描工具对所述软件编码节点输出的所述代码信息进行扫描分析,确定所述代码信息是否符合第二预设条件,在所述代码信息符合所述第一预设条件和/或所述第二预设条件的情况下,确定所述软件编码节点为所述目标节点,其中,所述第一预设条件包括代码无法运行、资源泄露和空指针引用中的一种或者多种,所述第二预设条件包括SQL注入、跨站脚本攻击和跨站请求伪造中的一种或者多种。
可选地,根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点,包括:采用动态代码分析工具对所述软件编码节点输出的所述代码信息进行扫描分析,确定所述代码信息是否符合第三预设条件,采用安全测试工具对所述软件编码节点输出的所述代码信息进行扫描分析,确定所述代码信息是否符合第四预设条件,在所述代码信息符合所述第三预设条件和/或所述第四预设条件的情况下,确定所述软件编码节点为所述目标节点,其中,所述第三预设条件包括代码未验证、代码未鉴权和代码的敏感数据未加密中的一种或者多种,所述第三预设条件包括代码缓冲区溢出、代码外部调用异常和代码访问异常中的一种或者多种,所述安全测试工具包括模糊测试工具、Web应用安全测试工具和动态二进制分析工具中的一个或者多个。
可选地,在根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点之后,所述方法还包括:对第三方组件进行漏洞分析,确定是否有存在漏洞的目标第三方组件,其中,所述第三方组件用于对所述供应链上的所述节点提供服务,漏洞分析方式包括数据库漏洞检测、组件版本检测和工具扫描分析中的一种或者多种;在存在所述目标第三方组件的情况下生成第二预警信息,并拦截所述目标第三方组件。
可选地,在获取供应链上的所有的节点之前,所述方法还包括:获取合同图像;采用OCR技术对所述合同图像进行文本识别,得到合同信息,其中,所述合同信息至少包括供应关系;根据所述合同信息确定所述供应链。
可选地,在根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点之后,所述方法还包括:获取供应商信息,其中,供应商为供应软件代码的所述节点,所述供应商信息包括档案信息、黑白名单信息、供货清单信息、项目信息中的一种或者多种;对所述供应商信息进行风险分析,确定是否存在异常的目标供应商,在存在所述目标供应商的情况下生成第三预警信息。
可选地,在根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点之后,所述方法还包括:获取软件物料信息,其中,软件物料为供应的软件,所述软件物料信息包括组件名称、组件版本和组件依赖关系中的一种或者多种;对所述软件物料信息进行风险分析,确定是否存在异常的目标软件物料,在存在所述目标软件物料的情况下生成第四预警信息。
根据本申请的另一方面,提供了一种供应链安全管控装置,包括:第一获取单元,用于获取供应链上的所有的节点,其中,所述供应链包括软件生命周期的所有的环节,所述节点包括软件需求分析节点、软件设计节点、软件编码节点、软件测试节点、软件发布节点、软件运维节点和软件废弃节点;第二获取单元,用于获取所有的所述节点的运行信息,其中,所述运行信息包括获取所有的所述节点的运行信息,其中,所述运行信息包括所述软件需求分析节点输出的软件需求信息,所述软件设计节点输出的功能说明信息,所述软件编码节点输出的代码信息,所述软件测试节点输出的测试信息,所述软件发布节点输出的发布信息,所述软件运维节点输出的运维信息,所述软件废弃节点输出的结束信息,所述软件需求信息包括功能需求、性能需求、界面需求和数据需求中的一个或者多个,所述功能说明信息包括界面功能说明信息、安全功能说明信息、接口功能说明信息和数据库功能说明信息中的一个或者多个,所述代码信息为软件的源代码或者编译后的机器代码,所述测试信息包括测试计划、测试用例、测试环境、测试日志和测试报告中的一个或者多个,所述发布信息包括版本号、发布日期和更新内容中的一个或者多个,所述运维信息包括配置信息、日志信息、数据库信息和反馈信息中的一个或者多个,所述结束信息包括废弃风险评估报告、废弃决策和废弃文档中的一个或者多个;管控单元,用于根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点,在存在所述目标节点的情况下生成第一预警信息,其中,所述节点的数量大于或者等于所述目标节点的数量,所述制度管理信息为预先配置的对每个所述节点输出的信息进行验证的规则信息。
根据本申请的再一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的程序,其中,在所述程序运行时控制所述计算机可读存储介质所在设备执行任意一种所述供应链安全管控方法。
根据本申请的又一方面,提供了一种安全管控系统,包括:一个或多个处理器,存储器,以及一个或多个程序,其中,所述一个或多个程序被存储在所述存储器中,并且被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行任意一种所述的供应链安全管控方法。
应用本申请的技术方案,可以结合供应链以及项目软件的生命周期进行管控,动态管控整个供应链上的可能产生的风险,如果供应链上任意一个生命周期的节点出现异常都可以检测到,通过本方案可以快速定位到异常的节点,这样可以保护整个供应链的安全。
附图说明
构成本申请的一部分的说明书附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出了根据本申请的实施例中提供的一种执行供应链安全管控方法的移动终端的硬件结构框图;
图2示出了根据本申请的实施例提供的一种供应链安全管控方法的流程示意图;
图3(a)示出了本方案提出的供应链安全管控的主要功能的第一部分的示意图;
图3(b)示出了本方案提出的供应链安全管控的主要功能的第二部分的示意图;
图4示出了根据本申请的实施例提供的一种供应链安全管控装置的结构框图。
其中,上述附图包括以下附图标记:
102、处理器;104、存储器;106、传输设备;108、输入输出设备。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本申请的发明人进行了数据采集和数据统计,根据数据显示,对2631个国内企业软件项目中使用开源软件的情况进行分析发现,平均每个项目使用1553个开源软件,远高于之前的126和127个;存在已知开源软件漏洞的项目占比达91.6%,平均每个项目存在110个已知开源软件漏洞,项目中最古老的开源软件漏洞的发现时间可追溯至21年前;1/6的项目中使用了含有超危或高危许可协议的开源软件;近30年前的老旧开源软件版本仍然在使用,同一开源软件各版本的使用依然混乱。目前已存在的供应链管控平台仅仅针对软件的第三方组件成分进行漏洞检测分析即SCA检测,而供应链管控不仅是管控软件源代码成分的管控,更应是软件全生命周期的管控,甚至到供应商的管控。
供应商也不局限于提供产品,提供服务支撑的供应商也会带来相对应的供应链风险。由单个供应点出发到供应链再到整个供应面,也就是暴露给攻击者的攻击面。
正如背景技术中所介绍的,现有技术中无法对供应链中的所有的环节进行安全管控,为解决如上的问题,本申请的实施例提供了一种供应链安全管控方法、装置、计算机可读存储介质和安全管控系统。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
本申请实施例中所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例,图1是本发明实施例的一种供应链安全管控方法的移动终端的硬件结构框图。如图1所示,移动终端可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,其中,上述移动终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述移动终端的结构造成限定。例如,移动终端还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的设备信息的显示方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至移动终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。传输设备106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端的通信供应商提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种运行于移动终端、计算机终端或者类似的运算装置的供应链安全管控方法,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图2是根据本申请实施例的一种供应链安全管控方法的流程示意图。如图2所示,该方法包括以下步骤:
步骤S201,获取供应链上的所有的节点,其中,上述供应链包括软件生命周期的所有的环节,上述节点包括软件需求分析节点、软件设计节点、软件编码节点、软件测试节点、软件发布节点、软件运维节点和软件废弃节点;
具体地,软件的生命周期包括软件需求分析、软件设计、软件编码、软件测试、软件发布、软件运维和软件废弃。
软件需求分析节点是指在软件需求分析软件开发团队与客户合作,收集、分析和明确软件系统的需求和功能的节点。
软件设计节点是指在需求分析的基础上,软件设计确定了软件系统的架构、模块划分、数据结构、算法和用户界面等的节点。
软件编码节点是指在软件设计完成后,开发团队根据设计方案进行具体的编码工作,将设计转化为可执行的代码的节点。可以将涉及产品开发的代码存储于代码托管平台中,便于产品迭代时对不同版本的代码进行管理。
软件测试节点是指在编码完成后,软件测试对软件进行系统性的测试,以确保软件符合需求规格和设计要求,发现和修正潜在的错误和缺陷的节点。
软件发布节点是指在软件测试通过后,软件被发布到目标用户,安装和部署到相应的环境中的节点。
软件运维节点是指一旦软件发布,它需要持续地进行维护和支持,包括bug修复、性能优化、功能更新等的节点。
软件废弃节点是指当软件不再被使用或者被替代时,它将进行废弃,不再进行维护和支持的节点。
步骤S202,获取所有的上述节点的运行信息,其中,上述运行信息包括获取所有的上述节点的运行信息,其中,上述运行信息包括上述软件需求分析节点输出的软件需求信息,上述软件设计节点输出的功能说明信息,上述软件编码节点输出的代码信息,上述软件测试节点输出的测试信息,上述软件发布节点输出的发布信息,上述软件运维节点输出的运维信息,上述软件废弃节点输出的结束信息,上述软件需求信息包括功能需求、性能需求、界面需求和数据需求中的一个或者多个,上述功能说明信息包括界面功能说明信息、安全功能说明信息、接口功能说明信息和数据库功能说明信息中的一个或者多个,上述代码信息为软件的源代码或者编译后的机器代码,上述测试信息包括测试计划、测试用例、测试环境、测试日志和测试报告中的一个或者多个,上述发布信息包括版本号、发布日期和更新内容中的一个或者多个,上述运维信息包括配置信息、日志信息、数据库信息和反馈信息中的一个或者多个,上述结束信息包括废弃风险评估报告、废弃决策和废弃文档中的一个或者多个;
具体地,软件生命周期中供应链上的所有的节点都会输出对应的信息。
在软件生命周期中,软件需求分析节点是确定和理解系统需求的节点。该节点的输出是软件需求信息,主要包括功能需求、功能需求、性能需求、界面需求和数据需求,另外还可以包括非功能需求、用户需求等等。
在软件生命周期中,软件设计节点输出的功能说明信息是指对于软件系统中的各个功能模块,进行详细的描述和说明的文档或规范。它包含了软件系统的各个功能模块的功能需求、性能要求、输入输出等信息。具体包括界面功能说明信息、安全功能说明信息、接口功能说明信息和数据库功能说明信息,另外还可以包括性能说明信息、输入输出说明信息、可靠性说明信息等等。
在软件生命周期中,软件编码节点是指开发人员根据需求和设计规范,将软件功能转化为具体的代码实现的节点。在这个节点,开发人员会编写源代码,并将其编译成可执行的程序。代码信息是指软件的源代码或者编译后的机器代码。另外机器代码中包括代码注释、变量和函数命名、函数和类的接口说明、错误处理信息和日志。
在软件生命周期中,软件测试是一个重要的过程,旨在验证和评估软件系统的正确性、可靠性和性能。测试节点输出的测试信息指的是在测试过程中产生的各种信息和结果。具体包括测试计划、测试用例、测试环境、测试日志和测试报告。
在软件生命周期中,软件发布节点是软件开发过程的一个重要节点。在这个节点,开发团队将完成的软件产品发布给最终用户或客户使用。输出的发布信息还包括版本号、发布日志、更新内容,另外还可以包括系统要求、安装说明、使用说明和常见问题解答等等。
在软件生命周期中,软件运维节点是指软件已经发布并投入使用,需要进行运维管理的节点。在这个节点,软件的运维团队会收集并输出一些运维信息,以便进行有效的运维管理。具体可以包括配置信息、日志信息、数据库信息和反馈信息。
在软件生命周期中,软件废弃节点是指软件被废弃或停止使用的节点。当软件废弃节点被触发时,系统会输出一个结束信息,通常包括软件的废弃风险评估报告、废弃决策和废弃文档,另外还可以包括废弃的版本号、废弃日期、废弃原因等。这个结束信息的目的是向相关人员传达软件的废弃状态,以便他们了解软件的使用情况,并做出相应的决策。
步骤S203,根据制度管理信息对上述节点进行漏洞分析,确定是否有存在漏洞的目标节点,在存在上述目标节点的情况下生成第一预警信息,其中,上述节点的数量大于或者等于上述目标节点的数量,上述制度管理信息为预先配置的对每个上述节点输出的信息进行验证的规则信息。
具体地,供应链上包括软件生命周期环节中的所有的节点,要对所有的节点进行漏洞分析,其中,可以按照软件生命周期的顺序来进行漏洞分析,如果一个节点检测未通过那么不进行下一个节点的漏洞分析。
对软件需求进行漏洞分析,可以制定漏洞分析的制度和标准,明确分析的目标、方法和指标。这包括定义漏洞分析的流程、确定分析的范围和深度,以及建立评估漏洞的标准和指标。对软件需求信息进行详细的分析和审查,识别潜在的漏洞。这可以通过检查需求的完整性、一致性、可验证性、可追踪性等方面来实现。对于识别出的漏洞,分析其可能带来的影响和风险。例如,某个功能需求缺失可能会导致系统无法满足用户的核心需求,从而影响系统的可用性和用户满意度。根据漏洞分析的结果,提出相应的改进措施。例如,对于识别出的功能需求缺失,可以与相关利益相关者进一步沟通,明确需求并更新软件需求文档。
例如,在软件需求分析中,可能会遇到不同利益相关者提出的功能需求冲突的情况。通过漏洞分析,可以识别出冲突的需求,并分析其对系统的影响和风险。例如,某个利益相关者要求系统具有高可用性,而另一个利益相关者要求系统具有高性能。通过漏洞分析,可以发现这两个需求之间的冲突,并提出解决方案,如通过优化算法来平衡可用性和性能。
例如,在软件需求分析中,可能会忽视一些重要的非功能需求,如安全性、可靠性等。通过漏洞分析,可以识别出这些缺失的非功能需求,并分析其对系统的影响和风险。例如,某个系统在需求分析没有考虑到数据加密的需求,将导致系统的数据容易被攻击者窃取。通过漏洞分析,可以提出加密数据的需求,并在后续的开发过程中加以实现。
对软件设计进行漏洞分析,可以根据具体的制度管理信息和软件设计节点,确定要进行漏洞分析的范围。根据软件设计节点的不同,可以选择特定的漏洞分析方法和技术。根据软件设计节点的特点,选择适合的漏洞分析方法。常见的漏洞分析方法包括代码审查、静态代码分析、模糊测试、漏洞扫描等。根据所选的漏洞分析方法,对功能说明信息进行详细的漏洞分析。通过对软件设计节点的功能说明信息进行仔细的检查和评估,发现可能存在的漏洞和安全问题。将漏洞分析的结果整理成漏洞分析报告。报告应包含发现的漏洞和安全问题的详细描述,以及建议的修复措施和优先级。
例如,假设软件设计节点是一个电子商务网站的登录功能。根据制度管理信息,我们收集到了登录功能的需求文档和设计文档。针对这个设计节点,我们可以选择代码审查方法进行漏洞分析。通过对登录功能的代码进行仔细审查,发现可能存在的安全问题,例如未对用户输入进行有效的过滤和验证,可能导致SQL注入漏洞或跨站脚本攻击漏洞等。
例如,假设软件设计节点是一个移动应用的支付功能。根据制度管理信息,我们收集到了支付功能的需求文档和接口文档。针对这个设计节点,我们可以选择静态代码分析方法进行漏洞分析。通过对支付功能的代码进行静态分析,可以发现潜在的安全问题,例如未对敏感数据进行加密传输、未对支付请求进行合法性校验等。这些问题可能导致支付过程中的数据泄露或支付欺诈等安全风险。
对软件编码进行漏洞分析,可以使用静态代码分析工具对代码进行扫描,识别其中潜在的漏洞。静态代码分析可以检测出一些常见的漏洞类型,如缓冲区溢出、SQL注入、跨站脚本攻击等。通过执行代码并监视其行为,动态代码分析可以发现一些静态分析无法检测到的漏洞。例如,可以使用漏洞扫描工具对代码进行渗透测试,模拟攻击者的行为并查找潜在的漏洞。对检测到的漏洞进行分类和评估,确定其危害程度和修复优先级。可以使用一些漏洞评估标准。根据漏洞评估结果,制定相应的修复方案并进行漏洞修复。修复措施可能包括代码重构、参数验证、输入过滤、安全配置等。
例如,收集相关制度管理信息,了解应用程序中与数据库交互的代码部分。使用静态代码分析工具扫描代码,检测是否存在未经过滤的用户输入被拼接到SQL查询语句中的情况。使用动态代码分析工具对代码进行测试,通过构造恶意的SQL语句来尝试攻击数据库。根据漏洞评估结果,确定修复方案。
例如,收集相关制度管理信息,了解应用程序中与用户输入输出相关的代码部分。使用静态代码分析工具扫描代码,检测是否存在未对用户输入进行适当的过滤和转义的情况。使用动态代码分析工具对代码进行测试,通过构造恶意的HTML/JavaScript代码来尝试执行跨站脚本攻击。根据漏洞评估结果,确定修复方案,例如对用户输入进行适当的过滤和转义,或者使用安全的输出函数来防止跨站脚本攻击。
对软件测试进行漏洞分析,可以确定测试的目的、范围和时间计划,并明确测试的需求和目标。这可以包括测试的功能、性能、可靠性、安全性等方面。制定详细的测试计划,包括测试的策略、方法、资源需求、进度安排等。测试计划应该根据测试需求和目标进行制定,并经过相关方的审批。根据测试计划,执行相应的测试活动,包括测试环境的搭建、测试用例的设计和执行、缺陷的跟踪和修复等。在执行过程中,记录测试过程中的关键信息。对测试结果进行分析,包括测试用例的通过率、缺陷的数量和严重程度、性能指标等。根据分析结果,评估软件的质量和可靠性,并提出改进意见。根据测试结果和分析,撰写详细的测试报告,包括测试目标的达成情况、测试活动的执行情况、测试结果的分析和总结、改进意见等。测试报告应该清晰、准确地反映测试的情况。
例如,确定对Web应用程序进行功能、兼容性和安全性测试,目标是保证应用程序的稳定性和安全性。制定测试计划,包括测试资源的需求、测试环境的搭建、测试用例的设计和执行计划等。根据测试计划,搭建测试环境并执行测试用例,记录测试过程中发现的缺陷和关键信息。对测试结果进行分析,包括测试用例的通过率、缺陷的数量和严重程度等。评估应用程序的质量和安全性,并提出改进意见。根据测试结果和分析,撰写测试报告,包括测试目标的达成情况、测试活动的执行情况、测试结果的分析和总结、改进意见等。
例如,确定对移动应用程序进行性能测试,目标是评估应用程序在不同负载和网络条件下的性能表现。制定测试计划,包括性能测试的策略、测试环境的搭建、测试用例的设计和执行计划等。根据测试计划,搭建性能测试环境并执行测试用例,记录测试过程中的关键信息,如响应时间、吞吐量等性能指标。对测试结果进行分析,包括性能指标的评估和比较,发现性能瓶颈和问题,并提出改进意见。根据测试结果和分析,撰写测试报告,包括测试目标的达成情况、测试活动的执行情况、测试结果的分析和总结、改进意见等。
对软件发布进行漏洞分析,可以根据软件发布的需求和目标,确定发布信息包括的内容和格式。例如,发布信息可以包括版本号、发布日期、更新内容、修复的问题等。根据确定的发布信息内容和格式,设计发布信息的模板。模板可以使用文本编辑工具创建,可以包含固定的文本和动态的变量。根据设计的发布信息模板,配置发布信息的生成工具。这个工具可以是一个脚本或者一个自动化工具,用来根据输入的参数生成发布信息。建立一个数据库或者其他形式的数据存储,用来管理发布信息的数据。这个数据库可以包含版本号、发布日期、更新内容等信息,并且可以通过查询和修改来管理发布信息。
例如,假设有一个软件版本管理系统,当开发人员提交代码到版本库时,系统会自动生成发布信息。在这个系统中,发布信息包括版本号、提交者、提交日期等。当开发人员提交代码后,系统会根据提交的信息自动生成发布信息,并将其保存到数据库中。
例如,假设有一个软件发布系统,当测试人员测试通过一个版本时,系统会自动生成发布信息。在这个系统中,发布信息包括版本号、发布日期、测试结果等。当测试人员测试通过一个版本后,系统会根据测试结果自动生成发布信息,并将其保存到数据库中。
对软件运维进行漏洞分析,可以根据需求设计和实施数据收集和分析机制。这可以包括使用监控工具、日志分析工具、用户反馈系统等来收集和分析相关数据。根据制度要求,定义运维信息的指标和报告格式。这可以包括系统性能指标、错误率、用户满意度等。确保指标和报告格式能够满足相关部门和利益相关者的需求。建立自动化机制,定期从软件运维节点收集数据,并生成符合制度要求的报告。这可以通过编写脚本、使用自动化工具等来实现。对生成的报告进行审查和验证,确保数据的准确性和完整性。可以与相关部门和利益相关者一起进行审查,以确保报告满足他们的需求。
例如,假设一个电子商务网站运维节点需要输出运维信息。首先,确定需求,包括网站性能、访问量、交易成功率等指标。然后,设计数据收集和分析机制,使用监控工具收集网站性能数据,使用访问日志分析工具收集访问量数据,并通过交易系统收集交易成功率数据。定义指标和报告格式,如每日网站平均响应时间、每周访问量报告、每月交易成功率报告等。建立自动化机制,定期从运维节点收集数据,并生成符合制度要求的报告。最后,进行审查和验证报告,确保数据的准确性和完整性。
例如,假设一个社交媒体应用的运维节点需要输出运维信息。首先,确定需求,包括应用性能、用户活跃度、错误报告等指标。然后,设计数据收集和分析机制,使用应用性能监控工具收集应用性能数据,使用用户行为分析工具收集用户活跃度数据,并通过错误日志收集错误报告数据。定义指标和报告格式,如每日应用平均响应时间、每周用户活跃度报告、每月错误报告等。建立自动化机制,定期从运维节点收集数据,并生成符合制度要求的报告。最后,进行审查和验证报告,确保数据的准确性和完整性。
对软件废弃进行漏洞分析,可以先需要确定哪些软件节点需要被废弃。这可以根据软件开发团队或者管理层的决策来确定,通常是根据软件的功能、性能、安全性等方面的考虑来判断。收集与废弃节点相关的信息,包括该节点的功能、使用情况、依赖关系、影响范围等。这些信息可以通过软件开发文档、用户反馈、系统监控数据等渠道获取。对收集到的信息进行分析,评估废弃节点的影响和风险。根据软件的整体架构和设计,判断废弃节点对其他模块的影响程度,以及可能引发的问题和挑战。根据分析结果制定废弃计划,明确废弃节点的具体处理方式和时间安排。计划中需要包括废弃节点的替代方案、数据迁移方案、测试计划等。将废弃计划和相关信息通知给软件开发团队、用户、客户等相关方,确保他们了解废弃节点的情况和计划。同时,提供必要的支持和指导,帮助他们进行必要的调整和迁移。按照废弃计划的安排,逐步实施废弃节点的处理。这可能涉及到软件代码的修改、数据的迁移、系统的测试和验证等工作。在执行过程中,需要密切关注废弃节点的影响和风险,并及时解决可能出现的问题。在废弃节点的处理完成后,根据制度管理的要求,输出废弃节点的结束信息。这包括废弃节点的处理结果、影响范围、风险控制情况等。
例如,一个软件系统中的某个功能模块,由于性能问题和安全漏洞较多,决定废弃该模块。收集该模块的功能、使用情况、依赖关系等信息。评估废弃该模块对其他模块的影响程度,以及可能引发的性能问题和安全隐患。制定废弃计划,包括替代方案、数据迁移方案、测试计划等。通知软件开发团队和用户,说明废弃模块的情况和计划。按计划逐步处理废弃模块,包括修改代码、迁移数据、测试验证等。输出废弃模块的结束信息,包括处理结果、影响范围、风险控制情况等。
例如,一个企业内部使用的软件系统,由于业务变动,某个功能模块不再需要,决定废弃该模块。收集相关信息:收集该模块的功能、使用情况、依赖关系等信息。评估废弃该模块对其他模块的影响程度,以及可能引发的业务中断和数据丢失等风险。制定废弃计划,包括清理数据、调整业务流程、通知用户等。通知软件开发团队、用户和相关部门,说明废弃模块的情况和计划,并提供必要的支持和培训。按计划逐步处理废弃模块,包括清理数据、调整业务流程、培训用户等。输出废弃模块的结束信息,包括处理结果、影响范围、风险控制情况等。
通过本实施例,可以结合供应链以及项目软件的生命周期进行管控,动态管控整个供应链上的可能产生的风险,如果供应链上任意一个生命周期的节点出现异常都可以检测到,通过本方案可以快速定位到异常的节点,这样可以保护整个供应链的安全。
具体地,可以根据本申请的供应链安全管控方法来构建供应链安全管控平台,针对软件供应商到供应物品甚至服务,构建供应链图谱,形成环状图谱,采用动态安全的思路,贯穿产品全生命周期,针对某个组件或某家供应商出现隐患时排查需耗费大量时间的痛点,在供应链发生隐患时快速定位自身企业所产生的风险点,并及时消除风险。
另外,本申请的方案还可以构建代码托管平台,将涉及产品开发的代码存储于代码托管平台中,便于产品迭代时对不同版本的代码进行管理。代码托管平台就是代码仓库,可以对代码进行版本管理、代码评审、代码浏览,类似于书架,可以以文件的形式进行存储,这样可以对代码进行追溯。
具体实现过程中,根据制度管理信息对上述节点进行漏洞分析,确定是否有存在漏洞的目标节点,可以通过以下步骤实现:采用静态代码分析工具对上述软件编码节点输出的上述代码信息进行扫描分析,确定上述代码信息是否符合第一预设条件,采用漏洞扫描工具对上述软件编码节点输出的上述代码信息进行扫描分析,确定上述代码信息是否符合第二预设条件,在上述代码信息符合上述第一预设条件和/或上述第二预设条件的情况下,确定上述软件编码节点为上述目标节点,其中,上述第一预设条件包括代码无法运行、资源泄露和空指针引用中的一种或者多种,上述第二预设条件包括SQL注入、跨站脚本攻击和跨站请求伪造中的一种或者多种。
该方案中,可以对代码信息进行静态安全检测,实现自动化的静态安全检测,确保每个代码提交都经过安全性审查,同时使用预定义的预设条件标准进行检测,保证应用程序符合安全最佳实践和标准。
具体地,使用专门的静态代码分析工具对代码进行静态分析,检测潜在的安全漏洞和代码质量问题。这些工具可以通过扫描源代码或编译后的字节码来检测代码中的漏洞和缺陷。
静态漏洞扫描器是一种自动化工具,可以扫描源代码或编译后的代码,检测潜在的安全漏洞。这些工具可以检测常见的漏洞,如跨站脚本攻击(XSS)、SQL注入、代码注入等。
符号执行是一种静态分析技术,通过对程序的符号变量进行符号运算,以探索程序的各种执行路径,并发现潜在的安全漏洞。符号执行可以发现输入验证不足、条件竞争等漏洞。
数据流分析是一种静态分析技术,通过分析程序中的数据流,以发现潜在的安全漏洞。数据流分析可以用于检测敏感数据泄露、资源泄露、空指针引用等问题。
具体地,可以集成到持续集成/持续交付(CI/CD)流程中,实现自动化的安全检测,确保每个代码提交都经过安全性审查,同时使用预定义的安全规则和标准进行检测,保证应用程序符合安全最佳实践和标准。
具体实现过程中,根据制度管理信息对上述节点进行漏洞分析,确定是否有存在漏洞的目标节点,可以通过以下步骤实现:采用动态代码分析工具对上述软件编码节点输出的上述代码信息进行扫描分析,确定上述代码信息是否符合第三预设条件,采用安全测试工具对上述软件编码节点输出的上述代码信息进行扫描分析,确定上述代码信息是否符合第四预设条件,在上述代码信息符合上述第三预设条件和/或上述第四预设条件的情况下,确定上述软件编码节点为上述目标节点,其中,上述第三预设条件包括代码未验证、代码未鉴权和代码的敏感数据未加密中的一种或者多种,上述第三预设条件包括代码缓冲区溢出、代码外部调用异常和代码访问异常中的一种或者多种,上述安全测试工具包括模糊测试工具、Web应用安全测试工具和动态二进制分析工具中的一个或者多个。
该方案中,可以对代码信息进行动态安全检测,对应用程序进行实时检测,发现潜在的漏洞,使得开发人员可以快速地识别和修复安全漏洞,降低攻击窗口,本方案有助于实现安全即代码的理念,使安全性称为整个开发生命周期的一部分。
具体地,可以使用专门的工具来自动分析源代码,检测潜在的问题和漏洞。这些工具可以检查代码的规范性、安全性和性能等方面。通过在运行时对代码进行监控和分析,检测潜在的问题和漏洞。这些工具可以模拟各种攻击场景,发现代码中的漏洞。
可以使用专门的工具来检查代码中的安全问题,如密码硬编码、SQL注入、跨站脚本攻击等。可以使用专门的工具来扫描代码中的已知漏洞。这些工具会根据已知的漏洞库来检查代码中是否存在相应的漏洞。
具体地,可以与DevOps流程集成紧密结合,对应用程序进行实时检测,发现潜在的安全漏洞,使开发团队能够更快速地识别和修复安全漏洞,降低攻击窗口,有助于实现安全即代码的理念,使安全性成为整个开发生命周期的一部分。
为了进一步保证软件生命周期的安全性,在根据制度管理信息对上述节点进行漏洞分析,确定是否有存在漏洞的目标节点之后,上述方法还包括以下步骤:对第三方组件进行漏洞分析,确定是否有存在漏洞的目标第三方组件,其中,上述第三方组件用于对上述供应链上的上述节点提供服务,漏洞分析方式包括数据库漏洞检测、组件版本检测和工具扫描分析中的一种或者多种;在存在上述目标第三方组件的情况下生成第二预警信息,并拦截上述目标第三方组件。
该方案中,可以识别应用程序中使用的第三方组件中的已知漏洞,并及时拦截使用存在漏洞的第三方组件,确保第三方组件没有已知的漏洞才可以使用,这样可以进一步保证软件供应链的安全性。
第三方组件是指由独立的开发者或公司开发的、可被集成到其他软件或系统中使用的组件。这些组件通常提供特定的功能或服务,可以帮助开发者快速构建复杂的软件系统。第三方组件可以是开源的,也可以是商业的。开发者可以通过使用第三方组件来减少开发工作量,提高开发效率,并且可以借助第三方组件的功能来增强自己的软件或系统的功能。
具体地,可以使用动态分析工具对第三方组件进行测试,包括运行时监控、模糊测试、符号执行等方法,以发现潜在的漏洞。使用静态分析工具对第三方组件的源代码或二进制文件进行分析,以发现其中的漏洞。使用漏洞扫描工具对第三方组件进行扫描,以发现已知的漏洞。漏洞扫描工具会自动检测组件中是否存在已公开的漏洞,并提供相应的修复建议。
具体地,可以识别应用程序中使用的第三方组件中的已知漏洞,及时拦截使用存在漏洞的第三方组件,确保第三方组件没有已知的漏洞。
为了较为准确地确定产品的供应链,可以根据合同上的信息来确定供应链,在获取供应链上的所有的节点之前,上述方法还包括以下步骤:获取合同图像;采用OCR技术对上述合同图像进行文本识别,得到合同信息,其中,上述合同信息至少包括供应关系;根据上述合同信息确定上述供应链。
该方案中,可以通过自动化识别合同来确定合同的信息,这样可以确定供应物的供应商以及采购商等等的供应关系,进而形成供应链,这样可以根据合同简单准确地确定产品的供应链。
具体地,可以使用OCR技术中的文本检测算法,如基于深度学习的文本检测方法,对合同图像中的文本区域进行定位和识别。对定位到的文本区域进行OCR识别,将图像中的文字转化为可编辑的文本文档。根据合同的特定格式和结构,对识别出的文本进行信息提取。可以使用正则表达式、关键词匹配等方法,提取出需要的合同信息,如合同编号、双方当事人、合同金额、签订日期等。将提取出的合同信息进行数据处理和分析,可以使用数据挖掘、机器学习等技术,进一步发现和分析供应关系链。
具体地,可以通过自动化识别合同构建合同关系,输入供应关系以及供货清单,并按照供应物进行分类,形成供应链。
在一些实施例上,在根据制度管理信息对上述节点进行漏洞分析,确定是否有存在漏洞的目标节点之后,上述方法还包括以下步骤:获取供应商信息,其中,供应商为供应软件代码的上述节点,上述供应商信息包括档案信息、黑白名单信息、供货清单信息、项目信息中的一种或者多种;对上述供应商信息进行风险分析,确定是否存在异常的目标供应商,在存在上述目标供应商的情况下生成第三预警信息。
该方案中,通过对供应商的档案信息、项目信息、黑白名单信息、供货清单等信息进行风险管理分析,可以对供应链上的供应商也进行安全检测,进而进一步保证了本方案可以实现供应链的全过程安全监测。
具体地,可以了解供应商的背景信息,包括公司成立时间、规模、行业声誉等。可以通过搜索引擎、商业数据库、新闻报道等途径获取相关信息。了解供应商的安全控制措施,包括安全开发生命周期、安全测试、代码审查、漏洞修复等。可以通过查阅供应商的安全政策、安全报告、第三方认证等来评估其安全性能。查找供应商过去的漏洞披露和修复记录。可以通过漏洞数据库、安全公告、供应商的安全通报等途径获取相关信息。重点关注供应商对漏洞的响应速度和修复措施。了解供应商是否符合相关的安全合规标准和法规要求。可以通过查阅供应商的合规证书、合规报告、第三方审计等来评估其安全合规性。供应商的风险也可能来自其自身的供应链。了解供应商是否与其他风险较高的供应商有合作关系,并评估这些供应商的安全性。
例如,假设有一个供应商名为XXX软件有限公司,首先收集该供应商的基本信息,例如公司注册资料、联系方式等。然后通过搜索引擎、商业数据库等途径了解其背景信息,包括公司成立时间、规模和行业声誉。接下来评估该供应商的安全控制措施,查看其安全开发生命周期、安全测试和漏洞修复流程。同时分析该供应商过去的漏洞历史,查找其漏洞披露和修复记录。最后评估该供应商的安全合规性,了解其是否符合相关的安全合规标准和法规要求。
具体地,可以通过供应商档案信息、项目信息及供货清单,对供应商进行风险管理。
在一些实施例上,在根据制度管理信息对上述节点进行漏洞分析,确定是否有存在漏洞的目标节点之后,上述方法还包括以下步骤:获取软件物料信息,其中,软件物料为供应的软件,上述软件物料信息包括组件名称、组件版本和组件依赖关系中的一种或者多种;对上述软件物料信息进行风险分析,确定是否存在异常的目标软件物料,在存在上述目标软件物料的情况下生成第四预警信息。
该方案中,通过对软件的物料信息进行风险管理分析,可以对供应链上的软件也进行安全检测,进而进一步保证本方案可以实现供应链的全过程安全监测,进而进一步提高软件生命周期的可管理性、可见性和安全性。
具体地,可以使用漏洞数据库等公开的漏洞信息源,查询软件及其相关组件的已知漏洞。对比已知漏洞信息与软件物料信息,确定是否存在已公开的漏洞。可以对软件的源代码进行审查,查找潜在的安全漏洞,如输入验证不充分、未经授权的访问、缓冲区溢出等。使用静态代码分析工具,帮助自动发现源代码中的潜在漏洞。可以对软件所使用的第三方组件进行漏洞分析,查询其是否存在已公开的漏洞。对比组件的版本号与已知漏洞信息,确定是否存在已公开的组件漏洞。
例如,某软件使用了一个开源组件,最近该组件发布了一个安全公告,指出其旧版本存在一个远程代码执行漏洞。通过查找软件物料信息,确定该软件使用了该组件的受影响版本。然后评估漏洞对软件的风险程度,制定修复策略,如更新组件版本或应用官方提供的补丁。
具体地,可以提供对软件构建组成部分的透明度,使开发者、安全团队能够清晰地了解软件的组成和依赖关系,提高软件生命周期的可管理性、可见性和安全性。
本申请的方案不单单局限于第三方组件检测或源代码分析,因为第三方组件检测不等于供应链,供应链安全是动态的,不是靠项目过程的某个检测就一劳永逸。供应商管控也不仅是管控供应商的产品,提供服务的供应商也会存储相关数据从而带来一定风险。结合供应商管控和项目全生命周期管控,动态管控整个供应链上的可能产生的风险。当某个供应商被攻陷或出安全问题,能够通过该方法迅速定位可能影响的系统或产品。当某个版本组件出问题,也能够通过该平台迅速定位影响的系统或产品。本申请的方案的主要功能如图3(a)和图3(b)所示。
该提案与目前技术相比,该方案主要侧重于整体管控而不是某项检测能力,检测能力只是管控的手段之一。通过结合供应商供求关系与项目全生命周期管控,从而构建完整的供应链安全管控思路。现有技术主要侧重于软件组件的检测,从而忽略了供应商自身所带来的风险也会影响整个供应链的安全。本方案提出通过结合供应链关系及项目全生命周期管控的方式来达到供应链安全管控的目的。
通过以上内容,最终形成一张完整的供应链网状图,可以形成从供应商到供应物再到软件物料成分一条完整的链路,同时配合三大检测方式(动态检测、静态检测、第三方组件检测),从软件全生命周期进行管控,最终达到管控供应链的目的。
本申请实施例还提供了一种供应链安全管控装置,需要说明的是,本申请实施例的供应链安全管控装置可以用于执行本申请实施例所提供的用于供应链安全管控方法。该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
以下对本申请实施例提供的供应链安全管控装置进行介绍。
图4是根据本申请实施例的一种供应链安全管控装置的结构框图。如图4所示,该装置包括:
第一获取单元10,用于获取供应链上的所有的节点,其中,上述供应链包括软件生命周期的所有的环节,上述节点包括软件需求分析节点、软件设计节点、软件编码节点、软件测试节点、软件发布节点、软件运维节点和软件废弃节点;
第二获取单元20,用于获取所有的上述节点的运行信息,其中,上述运行信息包括获取所有的上述节点的运行信息,其中,上述运行信息包括上述软件需求分析节点输出的软件需求信息,上述软件设计节点输出的功能说明信息,上述软件编码节点输出的代码信息,上述软件测试节点输出的测试信息,上述软件发布节点输出的发布信息,上述软件运维节点输出的运维信息,上述软件废弃节点输出的结束信息,上述软件需求信息包括功能需求、性能需求、界面需求和数据需求中的一个或者多个,上述功能说明信息包括界面功能说明信息、安全功能说明信息、接口功能说明信息和数据库功能说明信息中的一个或者多个,上述代码信息为软件的源代码或者编译后的机器代码,上述测试信息包括测试计划、测试用例、测试环境、测试日志和测试报告中的一个或者多个,上述发布信息包括版本号、发布日期和更新内容中的一个或者多个,上述运维信息包括配置信息、日志信息、数据库信息和反馈信息中的一个或者多个,上述结束信息包括废弃风险评估报告、废弃决策和废弃文档中的一个或者多个;
管控单元30,用于根据制度管理信息对上述节点进行漏洞分析,确定是否有存在漏洞的目标节点,在存在上述目标节点的情况下生成第一预警信息,其中,上述节点的数量大于或者等于上述目标节点的数量,上述制度管理信息为预先配置的对每个上述节点输出的信息进行验证的规则信息。
通过本实施例,可以结合供应链以及项目软件的生命周期进行管控,动态管控整个供应链上的可能产生的风险,如果供应链上任意一个生命周期的节点出现异常都可以检测到,通过本方案可以快速定位到异常的节点,这样可以保护整个供应链的安全。
具体实现过程中,管控单元包括第一处理模块,第一处理模块用于采用静态代码分析工具对上述软件编码节点输出的上述代码信息进行扫描分析,确定上述代码信息是否符合第一预设条件,采用漏洞扫描工具对上述软件编码节点输出的上述代码信息进行扫描分析,确定上述代码信息是否符合第二预设条件,在上述代码信息符合上述第一预设条件和/或上述第二预设条件的情况下,确定上述软件编码节点为上述目标节点,其中,上述第一预设条件包括代码无法运行、资源泄露和空指针引用中的一种或者多种,上述第二预设条件包括SQL注入、跨站脚本攻击和跨站请求伪造中的一种或者多种。
该方案中,可以对代码信息进行静态安全检测,实现自动化的静态安全检测,确保每个代码提交都经过安全性审查,同时使用预定义的预设条件标准进行检测,保证应用程序符合安全最佳实践和标准。
具体实现过程中,管控单元包括第二处理模块,第二处理模块用于采用动态代码分析工具对上述软件编码节点输出的上述代码信息进行扫描分析,确定上述代码信息是否符合第三预设条件,采用安全测试工具对上述软件编码节点输出的上述代码信息进行扫描分析,确定上述代码信息是否符合第四预设条件,在上述代码信息符合上述第三预设条件和/或上述第四预设条件的情况下,确定上述软件编码节点为上述目标节点,其中,上述第三预设条件包括代码未验证、代码未鉴权和代码的敏感数据未加密中的一种或者多种,上述第三预设条件包括代码缓冲区溢出、代码外部调用异常和代码访问异常中的一种或者多种,上述安全测试工具包括模糊测试工具、Web应用安全测试工具和动态二进制分析工具中的一个或者多个。
该方案中,可以对代码信息进行动态安全检测,对应用程序进行实时检测,发现潜在的漏洞,使得开发人员可以快速地识别和修复安全漏洞,降低攻击窗口,本方案有助于实现安全即代码的理念,使安全性称为整个开发生命周期的一部分。
为了进一步保证软件生命周期的安全性,上述装置还包括第一处理单元和第二处理单元,第一处理单元用于在根据制度管理信息对上述节点进行漏洞分析,确定是否有存在漏洞的目标节点之后,对第三方组件进行漏洞分析,确定是否有存在漏洞的目标第三方组件,其中,上述第三方组件用于对上述供应链上的上述节点提供服务,漏洞分析方式包括数据库漏洞检测、组件版本检测和工具扫描分析中的一种或者多种;第二处理单元用于在存在上述目标第三方组件的情况下生成第二预警信息,并拦截上述目标第三方组件。
该方案中,可以识别应用程序中使用的第三方组件中的已知漏洞,并及时拦截使用存在漏洞的第三方组件,确保第三方组件没有已知的漏洞才可以使用,这样可以进一步保证软件供应链的安全性。
为了较为准确地确定产品的供应链,可以根据合同上的信息来确定供应链,上述装置还包括第三获取单元、第三处理单元和确定单元,第三获取单元用于在获取供应链上的所有的节点之前,获取合同图像;第三处理单元用于采用OCR技术对上述合同图像进行文本识别,得到合同信息,其中,上述合同信息至少包括供应关系;确定单元用于根据上述合同信息确定上述供应链。
该方案中,可以通过自动化识别合同来确定合同的信息,这样可以确定供应物的供应商以及采购商等等的供应关系,进而形成供应链,这样可以根据合同简单准确地确定产品的供应链。
在一些实施例上,上述装置还包括第四获取单元和第四处理单元,第四获取单元用于在根据制度管理信息对上述节点进行漏洞分析,确定是否有存在漏洞的目标节点之后,获取供应商信息,其中,供应商为供应软件代码的上述节点,上述供应商信息包括档案信息、黑白名单信息、供货清单信息、项目信息中的一种或者多种;第四处理单元用于对上述供应商信息进行风险分析,确定是否存在异常的目标供应商,在存在上述目标供应商的情况下生成第三预警信息。
该方案中,通过对供应商的档案信息、项目信息、黑白名单信息、供货清单等信息进行风险管理分析,可以对供应链上的供应商也进行安全检测,进而进一步保证了本方案可以实现供应链的全过程安全监测。
在一些实施例上,上述装置还包括第五获取单元和第五处理单元,第五获取单元用于在根据制度管理信息对上述节点进行漏洞分析,确定是否有存在漏洞的目标节点之后,获取软件物料信息,其中,软件物料为供应的软件,上述软件物料信息包括组件名称、组件版本和组件依赖关系中的一种或者多种;第五处理单元用于对上述软件物料信息进行风险分析,确定是否存在异常的目标软件物料,在存在上述目标软件物料的情况下生成第四预警信息。
该方案中,通过对软件的物料信息进行风险管理分析,可以对供应链上的软件也进行安全检测,进而进一步保证本方案可以实现供应链的全过程安全监测,进而进一步提高软件生命周期的可管理性、可见性和安全性。
上述供应链安全管控装置包括处理器和存储器,上述第一获取单元、第二获取单元和管控单元等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来解决现有技术中无法对供应链中的所有的环节进行安全管控的问题。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种计算机可读存储介质,上述计算机可读存储介质包括存储的程序,其中,在上述程序运行时控制上述计算机可读存储介质所在设备执行上述供应链安全管控方法。
本发明实施例提供了一种处理器,上述处理器用于运行程序,其中,上述程序运行时执行上述供应链安全管控方法。
本申请还提供一种安全管控系统,包括一个或多个处理器,存储器,以及一个或多个程序,其中,上述一个或多个程序被存储在上述存储器中,并且被配置为由上述一个或多个处理器执行,上述一个或多个程序包括用于执行任意一种上述的供应链安全管控方法。
本发明实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现至少供应链安全管控方法步骤。本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有至少如下供应链安全管控方法步骤的程序。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
从以上的描述中,可以看出,本申请上述的实施例实现了如下技术效果:
1)、本申请的供应链安全管控方法,可以结合供应链以及项目软件的生命周期进行管控,动态管控整个供应链上的可能产生的风险,如果供应链上任意一个生命周期的节点出现异常都可以检测到,通过本方案可以快速定位到异常的节点,这样可以保护整个供应链的安全。
2)、本申请的供应链安全管控装置,可以结合供应链以及项目软件的生命周期进行管控,动态管控整个供应链上的可能产生的风险,如果供应链上任意一个生命周期的节点出现异常都可以检测到,通过本方案可以快速定位到异常的节点,这样可以保护整个供应链的安全。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种供应链安全管控方法,其特征在于,包括:
获取供应链上的所有的节点,其中,所述供应链包括软件生命周期的所有的环节,所述节点包括软件需求分析节点、软件设计节点、软件编码节点、软件测试节点、软件发布节点、软件运维节点和软件废弃节点;
获取所有的所述节点的运行信息,其中,所述运行信息包括所述软件需求分析节点输出的软件需求信息,所述软件设计节点输出的功能说明信息,所述软件编码节点输出的代码信息,所述软件测试节点输出的测试信息,所述软件发布节点输出的发布信息,所述软件运维节点输出的运维信息,所述软件废弃节点输出的结束信息,所述软件需求信息包括功能需求、性能需求、界面需求和数据需求中的一个或者多个,所述功能说明信息包括界面功能说明信息、安全功能说明信息、接口功能说明信息和数据库功能说明信息中的一个或者多个,所述代码信息为软件的源代码或者编译后的机器代码,所述测试信息包括测试计划、测试用例、测试环境、测试日志和测试报告中的一个或者多个,所述发布信息包括版本号、发布日期和更新内容中的一个或者多个,所述运维信息包括配置信息、日志信息、数据库信息和反馈信息中的一个或者多个,所述结束信息包括废弃风险评估报告、废弃决策和废弃文档中的一个或者多个;
根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点,在存在所述目标节点的情况下生成第一预警信息,其中,所述节点的数量大于或者等于所述目标节点的数量,所述制度管理信息为预先配置的对每个所述节点输出的信息进行验证的规则信息。
2.根据权利要求1所述的方法,其特征在于,根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点,包括:
采用静态代码分析工具对所述软件编码节点输出的所述代码信息进行扫描分析,确定所述代码信息是否符合第一预设条件,采用漏洞扫描工具对所述软件编码节点输出的所述代码信息进行扫描分析,确定所述代码信息是否符合第二预设条件,在所述代码信息符合所述第一预设条件和/或所述第二预设条件的情况下,确定所述软件编码节点为所述目标节点,其中,所述第一预设条件包括代码无法运行、资源泄露和空指针引用中的一种或者多种,所述第二预设条件包括SQL注入、跨站脚本攻击和跨站请求伪造中的一种或者多种。
3.根据权利要求1所述的方法,其特征在于,根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点,包括:
采用动态代码分析工具对所述软件编码节点输出的所述代码信息进行扫描分析,确定所述代码信息是否符合第三预设条件,采用安全测试工具对所述软件编码节点输出的所述代码信息进行扫描分析,确定所述代码信息是否符合第四预设条件,在所述代码信息符合所述第三预设条件和/或所述第四预设条件的情况下,确定所述软件编码节点为所述目标节点,其中,所述第三预设条件包括代码未验证、代码未鉴权和代码的敏感数据未加密中的一种或者多种,所述第三预设条件包括代码缓冲区溢出、代码外部调用异常和代码访问异常中的一种或者多种,所述安全测试工具包括模糊测试工具、Web应用安全测试工具和动态二进制分析工具中的一个或者多个。
4.根据权利要求1所述的方法,其特征在于,在根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点之后,所述方法还包括:
对第三方组件进行漏洞分析,确定是否有存在漏洞的目标第三方组件,其中,所述第三方组件用于对所述供应链上的所述节点提供服务,漏洞分析方式包括数据库漏洞检测、组件版本检测和工具扫描分析中的一种或者多种;
在存在所述目标第三方组件的情况下生成第二预警信息,并拦截所述目标第三方组件。
5.根据权利要求1所述的方法,其特征在于,在获取供应链上的所有的节点之前,所述方法还包括:
获取合同图像;
采用OCR技术对所述合同图像进行文本识别,得到合同信息,其中,所述合同信息至少包括供应关系;
根据所述合同信息确定所述供应链。
6.根据权利要求1至5中任意一项所述的方法,其特征在于,在根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点之后,所述方法还包括:
获取供应商信息,其中,供应商为供应软件代码的所述节点,所述供应商信息包括档案信息、黑白名单信息、供货清单信息、项目信息中的一种或者多种;
对所述供应商信息进行风险分析,确定是否存在异常的目标供应商,在存在所述目标供应商的情况下生成第三预警信息。
7.根据权利要求1至5中任意一项所述的方法,其特征在于,在根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点之后,所述方法还包括:
获取软件物料信息,其中,软件物料为供应的软件,所述软件物料信息包括组件名称、组件版本和组件依赖关系中的一种或者多种;
对所述软件物料信息进行风险分析,确定是否存在异常的目标软件物料,在存在所述目标软件物料的情况下生成第四预警信息。
8.一种供应链安全管控装置,其特征在于,包括:
第一获取单元,用于获取供应链上的所有的节点,其中,所述供应链包括软件生命周期的所有的环节,所述节点包括软件需求分析节点、软件设计节点、软件编码节点、软件测试节点、软件发布节点、软件运维节点和软件废弃节点;
第二获取单元,用于获取所有的所述节点的运行信息,其中,所述运行信息包括获取所有的所述节点的运行信息,其中,所述运行信息包括所述软件需求分析节点输出的软件需求信息,所述软件设计节点输出的功能说明信息,所述软件编码节点输出的代码信息,所述软件测试节点输出的测试信息,所述软件发布节点输出的发布信息,所述软件运维节点输出的运维信息,所述软件废弃节点输出的结束信息,所述软件需求信息包括功能需求、性能需求、界面需求和数据需求中的一个或者多个,所述功能说明信息包括界面功能说明信息、安全功能说明信息、接口功能说明信息和数据库功能说明信息中的一个或者多个,所述代码信息为软件的源代码或者编译后的机器代码,所述测试信息包括测试计划、测试用例、测试环境、测试日志和测试报告中的一个或者多个,所述发布信息包括版本号、发布日期和更新内容中的一个或者多个,所述运维信息包括配置信息、日志信息、数据库信息和反馈信息中的一个或者多个,所述结束信息包括废弃风险评估报告、废弃决策和废弃文档中的一个或者多个;
管控单元,用于根据制度管理信息对所述节点进行漏洞分析,确定是否有存在漏洞的目标节点,在存在所述目标节点的情况下生成第一预警信息,其中,所述节点的数量大于或者等于所述目标节点的数量,所述制度管理信息为预先配置的对每个所述节点输出的信息进行验证的规则信息。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质包括存储的程序,其中,在所述程序运行时控制所述计算机可读存储介质所在设备执行权利要求1至7中任意一项所述供应链安全管控方法。
10.一种安全管控系统,其特征在于,包括:一个或多个处理器,存储器,以及一个或多个程序,其中,所述一个或多个程序被存储在所述存储器中,并且被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行权利要求1至7中任意一项所述的供应链安全管控方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311443006.1A CN117499104A (zh) | 2023-11-01 | 2023-11-01 | 供应链安全管控方法、装置和安全管控系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311443006.1A CN117499104A (zh) | 2023-11-01 | 2023-11-01 | 供应链安全管控方法、装置和安全管控系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117499104A true CN117499104A (zh) | 2024-02-02 |
Family
ID=89671970
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311443006.1A Pending CN117499104A (zh) | 2023-11-01 | 2023-11-01 | 供应链安全管控方法、装置和安全管控系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117499104A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN119227083A (zh) * | 2024-09-23 | 2024-12-31 | 扬州数安技术有限公司 | 一种软件供应链安全检测综合管理平台 |
-
2023
- 2023-11-01 CN CN202311443006.1A patent/CN117499104A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN119227083A (zh) * | 2024-09-23 | 2024-12-31 | 扬州数安技术有限公司 | 一种软件供应链安全检测综合管理平台 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11748095B2 (en) | Automation of task identification in a software lifecycle | |
| Rahman et al. | Security misconfigurations in open source kubernetes manifests: An empirical study | |
| Plate et al. | Impact assessment for vulnerabilities in open-source software libraries | |
| US10268825B2 (en) | Amalgamating code vulnerabilities across projects | |
| Shukla et al. | System security assurance: A systematic literature review | |
| Shatnawi | Deriving metrics thresholds using log transformation | |
| Tung et al. | An integrated security testing framework for secure software development life cycle | |
| Tan et al. | Evolution of technical debt remediation in Python: A case study on the Apache Software Ecosystem | |
| Latendresse et al. | Not all dependencies are equal: An empirical study on production dependencies in npm | |
| Yang et al. | Vuldigger: A just-in-time and cost-aware tool for digging vulnerability-contributing changes | |
| Alfadel et al. | On the discoverability of npm vulnerabilities in node. js projects | |
| Gkortzis et al. | A double-edged sword? Software reuse and potential security vulnerabilities | |
| Autili et al. | Software engineering techniques for statically analyzing mobile apps: research trends, characteristics, and potential for industrial adoption | |
| Amankwah et al. | Bug detection in Java code: An extensive evaluation of static analysis tools using Juliet Test Suites | |
| CN117499104A (zh) | 供应链安全管控方法、装置和安全管控系统 | |
| US11880470B2 (en) | System and method for vulnerability detection in computer code | |
| Kumar et al. | A hybrid approach for evaluation and prioritization of software vulnerabilities | |
| Pashchenko et al. | Secure software development in the era of fluid multi-party open software and services | |
| Friman | Agile and DevSecOps Oriented Vulnerability Detection and Mitigation on Public Cloud | |
| Rahman et al. | An empirical study of task infections in Ansible scripts | |
| Pashchenko | Decision support of security assessment of software vulnerabilities in industrial practice | |
| Nichols et al. | DoD developer’s guidebook for software assurance | |
| Ashraf et al. | Security assessment framework for educational ERP systems | |
| Shezan et al. | Chkplug: Checking gdpr compliance of wordpress plugins via cross-language code property graph | |
| US20230418952A1 (en) | System and methods for dynamic workload migration and service |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |