-
公开(公告)号:CN113139192B
公开(公告)日:2024-04-19
申请号:CN202110382640.3
申请日:2021-04-09
Applicant: 扬州大学
Abstract: 本发明公开了一种基于知识图谱的第三方库安全风险分析方法及系统,方法包括以下步骤:采集项目依赖配置文件,迭代获取多层第三方库lib信息及api调用关系;根据lib信息在NVD数据库中索引CVE以搜集第三方库的漏洞信息;根据CVE的相关属性获取含有漏洞的第三方库中受影响的api;将生成的第三方库及漏洞实体、关系信息文件导入知识图谱工具构建知识图谱;通过构建好的知识图谱实现第三方库安全风险分析。本发明构建了一种存储第三方库多个层级之间的调用信息及各层级之间存在精确到api级别的漏洞信息的知识图谱,可对第三方库调用链进行安全漏洞风险分析,使软件开发者全方位考虑到第三方库安全漏洞信息,从而减少安全漏洞对软件开发的隐患。
-
公开(公告)号:CN113139192A
公开(公告)日:2021-07-20
申请号:CN202110382640.3
申请日:2021-04-09
Applicant: 扬州大学
Abstract: 本发明公开了一种基于知识图谱的第三方库安全风险分析方法及系统,方法包括以下步骤:采集项目依赖配置文件,迭代获取多层第三方库lib信息及api调用关系;根据lib信息在NVD数据库中索引CVE以搜集第三方库的漏洞信息;根据CVE的相关属性获取含有漏洞的第三方库中受影响的api;将生成的第三方库及漏洞实体、关系信息文件导入知识图谱工具构建知识图谱;通过构建好的知识图谱实现第三方库安全风险分析。本发明构建了一种存储第三方库多个层级之间的调用信息及各层级之间存在精确到api级别的漏洞信息的知识图谱,可对第三方库调用链进行安全漏洞风险分析,使软件开发者全方位考虑到第三方库安全漏洞信息,从而减少安全漏洞对软件开发的隐患。
-
Search Results
2
records
(took 0.016 seconds)
