公开(公告)号：CN113139192B

公开(公告)日：2024-04-19

申请号：CN202110382640.3

申请日：2021-04-09

Applicant: 扬州大学

Inventor： 孙洲 ,  薄莉莉 ,  孙小兵 ,  王一帆 ,  周媛媛 ,  李斌

IPC: G06F21/57 ,  G06F21/56

Abstract: 本发明公开了一种基于知识图谱的第三方库安全风险分析方法及系统，方法包括以下步骤：采集项目依赖配置文件，迭代获取多层第三方库lib信息及api调用关系；根据lib信息在NVD数据库中索引CVE以搜集第三方库的漏洞信息；根据CVE的相关属性获取含有漏洞的第三方库中受影响的api；将生成的第三方库及漏洞实体、关系信息文件导入知识图谱工具构建知识图谱；通过构建好的知识图谱实现第三方库安全风险分析。本发明构建了一种存储第三方库多个层级之间的调用信息及各层级之间存在精确到api级别的漏洞信息的知识图谱，可对第三方库调用链进行安全漏洞风险分析，使软件开发者全方位考虑到第三方库安全漏洞信息，从而减少安全漏洞对软件开发的隐患。

公开(公告)号：CN113139192A

公开(公告)日：2021-07-20

申请号：CN202110382640.3

申请日：2021-04-09

Applicant: 扬州大学

Inventor： 孙洲 ,  薄莉莉 ,  孙小兵 ,  王一帆 ,  周媛媛 ,  李斌

IPC: G06F21/57 ,  G06F21/56

Abstract: 本发明公开了一种基于知识图谱的第三方库安全风险分析方法及系统，方法包括以下步骤：采集项目依赖配置文件，迭代获取多层第三方库lib信息及api调用关系；根据lib信息在NVD数据库中索引CVE以搜集第三方库的漏洞信息；根据CVE的相关属性获取含有漏洞的第三方库中受影响的api；将生成的第三方库及漏洞实体、关系信息文件导入知识图谱工具构建知识图谱；通过构建好的知识图谱实现第三方库安全风险分析。本发明构建了一种存储第三方库多个层级之间的调用信息及各层级之间存在精确到api级别的漏洞信息的知识图谱，可对第三方库调用链进行安全漏洞风险分析，使软件开发者全方位考虑到第三方库安全漏洞信息，从而减少安全漏洞对软件开发的隐患。

公开(公告)号：CN111881300A

公开(公告)日：2020-11-03

申请号：CN202010629991.5

申请日：2020-07-03

Applicant: 扬州大学

Inventor： 薄莉莉 ,  孙洲 ,  孙小兵 ,  李斌

IPC: G06F16/36 ,  G06F40/295 ,  G06F21/57 ,  G06K9/62

Abstract: 本发明公开了一种面向第三方库依赖的知识图谱构建方法及系统，方法包括以下步骤：采集若干应用程序项目，从中提取所依赖的第三方库；爬取所述第三方库的漏洞报告；从所述漏洞报告中提取实体；从所述漏洞报告中抽取关系；对所述实体进行对齐，之后结合所述关系构建完整的知识图谱。本发明的方法提供了一种能够帮助开发者对第三方库依赖进行全方位漏洞及功能分析的数据语义网络，使用构建知识图谱的方法全方位存储第三方库漏洞、功能等信息，为进一步的对第三方库的功能、风险分析提供结构化数据，使开发人员能快速、准确、高效的掌握第三方库信息，提高开发的效率与质量。