-
公开(公告)号:CN119442243A
公开(公告)日:2025-02-14
申请号:CN202411390361.1
申请日:2024-10-08
Applicant: 复旦大学
Abstract: 本发明属于计算机软件安全技术领域,具体为一种基于加权方法间程序依赖图的漏洞影响软件库版本检测方法。本发明漏洞影响软件库版本检测方法包括:为每个漏洞生成漏洞签名和补丁签名,并将其表示为加权IPDG;生成候选软件库版本的潜在漏洞签名和潜在补丁签名,并与原始签名进行相似度比较,检测哪些软件库版本受漏洞影响。利用补丁中的修改代码行生成漏洞签名与补丁签名,从而克服现有技术无法在没有删除代码行的情况下生成漏洞签名的局限性。此外,通过HITS算法选择关键方法,并通过污点分析识别关键变量及其依赖关系,以确定关键语句,从而进一步提高检测的准确性。本发明能够有效提高开源软件供应链中漏洞检测的精度与效率。
-
公开(公告)号:CN118427831A
公开(公告)日:2024-08-02
申请号:CN202410452617.0
申请日:2024-04-16
Applicant: 复旦大学
IPC: G06F21/57
Abstract: 本发明属于软件工程技术领域,具体为基于多源知识的开源漏洞影响组件及其生态的识别方法。本发明方法包括,从多个信息源收集有关漏洞影响组件及其生态系统的多源证据;利用网络资源组建全量的生态组件池并计算已收集证据与组件池中每个组件的相关性;将现有的CVE漏洞条目与对应的影响组件及其生态作为训练数据集,训练开源漏洞影响组件及其生态识别器;输入待检测CVE漏洞条目进行漏洞组件的相关度排序,取出全量排序中排名最高的组件与其对应的生态作为漏洞影响组件及其生态。本发明方法可以帮助审查并纠正漏洞知识库的组件知识,缓解依赖漏洞组件的项目的风险和损失。
-
Search Results
2
records
(took 0.012 seconds)
