买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

摘要：本申请提出一种开源组件的风险识别方法、装置及电子设备，涉及网络安全技术领域。该开源组件的风险识别方法包括：获取各开源组件的开发活动数据，其中开源组件为生产环境中部署的项目所包括的组件；获取每种漏洞的第一参数，第一参数用于表征漏洞的修复优先程度；针对各开源组件中任一目标开源组件，获取目标开源组件当前版本涉及的关键漏洞集合，并确定所有漏洞中不属于关键漏洞集合中的剩余漏洞；基于目标开源组件的开发活动数据和剩余漏洞的第一参数，确定目标开源组件的综合风险值。本申请实施例确定的综合风险值，对目标开源组件的风险情况的判别更加高效准确，提高生产环境的安全性。

主权项：1.一种开源组件的风险识别方法，其特征在于，所述方法包括：获取各开源组件的开发活动数据，其中所述开源组件为生产环境中部署的项目所包括的组件，其中，基于所述开源组件的开发活动次数作为对应开源组件的开发活动数据，所述开发活动次数包括修改代码次数、安全加固次数、版本更新次数；获取每种漏洞的第一参数，根据每种漏洞的第一参数确定对应漏洞的修复优先程度，所述第一参数用于表征所述漏洞的修复优先程度，所述第一参数为所述漏洞占比熵值、或所述漏洞的出现频次，所述漏洞的修复优先程度越大则所述漏洞对应的开源组件的风险值越大；针对各开源组件中任一目标开源组件，获取所述目标开源组件当前版本涉及的关键漏洞集合，并确定所有漏洞中不属于所述关键漏洞集合中的剩余漏洞，其中，所述关键漏洞包括未授权漏洞、代码执行漏洞、命令执行漏洞、文件包含漏洞、反序列化漏洞、信息泄露漏洞以及所有已公开漏洞；基于所述目标开源组件的所述开发活动数据和所述剩余漏洞的第一参数，确定所述目标开源组件的综合风险值，包括：基于所述开发活动数据，确定所述目标开源组件的第一风险系数；基于所述剩余漏洞的第一参数，确定所述目标开源组件的第二风险系数；基于所述第一风险系数和所述第二风险系数，确定所述综合风险值；获取所述目标开源组件的风险行为数据，根据所述风险行为数据和所述开发活动数据，确定所述目标开源组件的第一风险系数；将所有所述剩余漏洞的第一参数进行累加作为所述目标开源组件的第二风险系数，或者计算所有所述剩余漏洞的第一参数的平均值作为所述目标开源组件的第二风险系数，或者计算所有所述剩余漏洞的第一参数结合预设系数作为所述目标开源组件的第二风险系数；将所述第一风险系数与所述第二风险系数的均值确定为所述目标开源组件的综合风险值，或者将所述第一风险系数与所述第二风险系数中的最大值确定为所述目标开源组件的综合风险值，或者将所述第一风险系数与所述第二风险系数的求和结果确定为所述目标开源组件的综合风险值。

全文数据：

权利要求：

百度查询： 中移互联网有限公司 中国移动通信集团有限公司 开源组件的风险识别方法、装置及电子设备