CN110232279B 一种漏洞检测方法及装置 （深圳前海微众银行股份有限公司）

可以保证获取到的控件为项目执行过程中所使件进行漏洞检测可以提高检测得到的项目漏洞使用的控件，可以无需对项目重新进行代码检2接收到用户触发的漏洞检测指令后，获取预设漏洞库中存储的针对于所述至少一个漏洞控件中的第一漏洞控件，若确定中存储有至少一个项目的标识和所述至少一个所述预设数据库是通过如下方式得到的：根据所述至少一个项目的标应的代码文件的目录结构和/或所述第一项目使用的编程语言确定所述第一项目的项目类识和所述至少一个项目使用的控件生成所述预使用的第三方组件为所述至少一个项目使用的依赖若确定所述第一项目是使用第一预设工具构建得到的，则从所文件的pom.xml数据包中获取properties标签、dependencies标签和/或plugins标签分别若确定所述第一项目不是使用所述第一预设工具构建得到若所述预设数据库中不存在使用所述第一漏洞控件的目标项根据所述一个或多个项目的项目地址，调用应用程序编程API接口获取所述一个或多个项目分别对应的一个或多个待检测文件，并对所述一个或多个待检测文件进行代码检若所述一个或多个项目中存在使用所述第一漏洞控件的第二目标收发模块，用于接收到用户触发的漏洞检测指令后，获取处理模块，用于针对于所述至少一个漏洞控件中的第一漏洞控件，若3中存在使用所述第一漏洞控件的第一目标项目，则将所述第一目标项目显所述预设数据库中存储有至少一个项目的标识和所述至少一个项目使用所述处理模块还用于：根据所述至少一个项目的标识，获取所述至少录结构和/或所述第一项目使用的编程语言确定所述第一项目的项目类型；根据所述第一使用的第三方组件为所述至少一个项目使用的依赖若确定所述第一项目是使用第一预设工具构建得到的，则从所文件的pom.xml数据包中获取properties标签、dependencies标签和/或plugins标签分别若确定所述第一项目不是使用所述第一预设工具构建得到若所述预设数据库中不存在使用所述第一漏洞控件的目标项根据所述一个或多个项目的项目地址，调用应用程序编程API接口获取所述一个或多个项目分别对应的一个或多个待检测文件，并对所述一个或多个待检测文件进行代码检若所述一个或多个项目中存在使用所述第一漏洞控件的第二目标9.一种计算机可读存储介质，其特征在于，包括4为例，银行中通常可以设置有配置管理数据库(ConfigurationManagementDatabase，[0005]本发明实施例提供一种漏洞检测方法及装置，用以准确定位使用漏洞控件的项码检测获取项目使用的控件，可以保证获取到的控件为项目执行过程中所使用的最新控5确定所述第一项目使用的编程语言，并根据所述第一项目对应的代码文件的目录结构和/[0012]在上述设计中，通过使用项目对应的代码文件的目录结构和/或编程语言将项目的，则从所述第一项目对应的代码文件的pom.xml数据包中获取properties标签、目使用的编程语言为Javescript类型，则获取所述代码文件的package.json数据包文件目的项目地址，调用应用程序编程API接口获取所述一个或多个项目分别对应的一个或多6所述第二目标项目显示给用户。据所述第一项目对应的代码文件的目录结构和/或所述第一项目使用的编程语言确定所述至少一个项目的标识和所述至少一个项目使用的控件生成所述预设预设工具构建得到的，则从所述第一项目对应的代码文件的pom.xml数据包中获取第一项目不是使用所述第一预设工具构建得到的，则获取所述第一项目使用的编程语言；若所述第一项目使用的编程语言为java语言，则获取所述代码文件的jar数据包文件，或者，若所述第一项目使用的编程语言为Javescript类型，则获取所述代码文件的个项目的项目地址，调用应用程序编程API接口获取所述一个或多个项目分别对应的一个项目使用的控件；若所述一个或多个项目中存在使用所述第一漏洞控件的第二目标项目，则将所述第二目标项目显示给用户。7[0032]金融科技(Fintech)是指将信息技术融入金融领域后，为金融领域带来的一种新务器300连接的至少一个网络服务器(比如图1所示意的网络服务器410～网络服务器460)。以通过有线方式与中心服务器300连接，或者也可以通过无线方式与中心服务器300连接，8般来说，邮件服务器450上可以设置有与邮件功能相关的一项或多项软件，比如络管理员可以通过FTP服务器460的互联网协议地址(InternetProtocolAddress，IP)将客户端设备100的IP变成其它服务器的IP，从而可以通过客户端设备100访问其它服务器，洞数据库中的任意一个漏洞数据库或任意多个漏洞数据库，比如国家信息安全漏洞库库中存储的至少一个漏洞控件的标识，并可以基于至少一个漏洞控件的标识进行漏洞检9[0044]本发明的下列实施例中以第一漏洞控件为例描述使用第一漏洞控件执行漏洞检成功解锁中心服务器300上设置的代码仓库，且漏洞检测服务器200与客户端设备100是相[0055]具体实施中，漏洞检测服务器200可以按照预设周期从代码仓库中获取网络服务器410～网络服务器460中执行的项目的代码文件；比如，以网络服务器410～网络服务器[0056]具体实施中，漏洞检测服务器200可以通过多种方式从代码仓库中获取全部项目测服务器200若接收到客户端设备100发送的目标项目的标识，则可以向中心服务器300发[0064]相应地，中心服务器300在接收代码获取指令后，可以对网络管理员进行身份验gitlab代码仓库的管理界面上显示项目w1～项目w3的项目信息，或者也可以将项目w1～项目w3的项目信息显示在命令行中，或者也可以将项目w1～项目w3的项目信息语音播报给用[0065]本发明实施例中，项目的项目信息可以包括项目的项目地址和/或项目的项目编通过项目的项目地址从gitlab代码仓库中获取项目的类型可以为Javescript类型；若项目w1的代码文件为python，则项目w1的项目类型可以为dependencies标签和/或plugins标签通过分析properties标签确定项目w1所[0073]下面分别描述根据properties标签、dependencies标签和plugins标签确定项目[0075]本发明实施例中，properties标签可以用于定义项目w1所使用的公共版本变量，服务器200可以通过分析properties标签的代码结构获取项目w1所使用的框架的名称和版[0078]其中，properties标签中可以设置有version标识，version标识前的内容(即“***”)可以用于定义项目w1所使用的框架的名称，version标识后的内容(即“*** [0084]在该示例中，dependencies标签中可以设置有groupId标识、artifactId标识和以用于定义项目w1所使用的插件(即jar插件)，version标识可以用于定义项目w1所使用的[0094]综上所述，properties标签中可以设置有version标识，而dependencies标签和dependencies标签和plugins标签中的groupId标识、artifactId标识和version标识进行目录结构中可以包括package.json数据包文件和/或package-lock.json数据包文件，package.json数据包文件和/或package-lock.json数据包文件中存储了创建和运行项目数据包文件和/或package-lock.json数据包进行分析，可以获取项目w1所使用的控件(比网络服务器460执行的全部项目的标识以及全部项目使用的控件；如此，漏洞检测服务器200可以根据全部项目的标识以及全部项测服务器200可以按照步骤b的方法从代码仓库中获取网络服务器410～网络服务器460上可以从项目w6的项目信息中获取项目w6的项目成员，从而可以将告警信息推送给项目w6的存储的至少一个漏洞控件的标识，进而针对于所述至少一个漏洞控件中的第一漏洞控件，述至少一个项目的标识和所述至少一个项目使和/或所述第一项目使用的编程语言确定所述第一项目的项目类型；根据所述第一项目的[0135]使用所述至少一个项目的标识和所述至少一个项目使用的控件生成所述预设数代码文件的pom.xml数据包中获取properties标签、dependencies标签和/或plugins标签[0141]根据所述一个或多个项目的项目地址，调用应用程序编程API接口获取所述一个件中的第一漏洞控件，若确定预设数据库中存在使用所述第一漏洞控件的第一目标项目，到的，所述预设数据库中存储有所述至少一个项目的标识和所述至少一个项目使用的控检测获取项目使用的控件，可以保证获取到的控件为项目执行过程中所使用的最新控件，如此，基于项目所使用的最新控件进行漏洞检测可以提高检测得到的项目漏洞的准确性；现在流程图一个