[发明专利]基于知识图谱的第三方库安全风险分析方法及系统

说明书

本发明公开了一种基于知识图谱的第三方库安全风险分析方法及系统，方法包括以下步骤：采集项目依赖配置文件，迭代获取多层第三方库lib信息及api调用关系；根据lib信息在NVD数据库中索引CVE以搜集第三方库的漏洞信息；根据CVE的相关属性获取含有漏洞的第三方库中受影响的api；将生成的第三方库及漏洞实体、关系信息文件导入知识图谱工具构建知识图谱；通过构建好的知识图谱实现第三方库安全风险分析。本发明构建了一种存储第三方库多个层级之间的调用信息及各层级之间存在精确到api级别的漏洞信息的知识图谱，可对第三方库调用链进行安全漏洞风险分析，使软件开发者全方位考虑到第三方库安全漏洞信息，从而减少安全漏洞对软件开发的隐患。

技术领域

本发明属于软件安全技术领域，特别涉及一种基于知识图谱的第三方库安全风险分析方法及系统。

背景技术

在软件开发领域内，大规模软件几乎都会使用第三方库依赖来增加功能性。然而，有约超过1/4的第三方库依赖存在安全漏洞隐患，而且95％的漏洞等级在中危(Middle)及以上，16％的漏洞等级为严重等级(Critical)，再加上第三方库间也存在调用与被调用的关系，如果间接调用的第三方库中存在漏洞风险，原项目也会有被漏洞风险影响的可能性。如果这些安全漏洞被恶意开发者利用，会造成不可估计的损失。所以对第三方库调用链进行漏洞分析检测和风险分析十分必要。

国内外研究现状下，对第三方库依赖进行分析的方法有许多，如白名单匹配检测、提取函数方法签名、基于聚类方法技术、基于机器学习方法等。但这些技术并没有在安全漏洞的角度进行对第三方库的风险分析。例如，白名单匹配检测方法中仅是对代码中的包名或者第三方库的包名进行比较，一旦应用使用了代码混淆，对第三方库的分析就会不准确，容易误导开发者。国外OWASP基金会提出了一种工具OWASP Dependency Check，它能够连接国家计算机通用漏洞数据库(National Vulnerability Database，NVD)数据库对比项目依赖项列表，筛选出对应的通用漏洞披露(Common Vulnerabilities and Exposures，CVE)。目前的风险分析技术仅仅是对第三方库进行一系列简单检测工作，或者是对单个第三方库进行漏洞分析，没有在调用链上考虑漏洞风险，在第三方库安全漏洞风险存在方面存在分析不全面、漏报、误报的现象。

发明内容

发明目的：本发明的目的在于针对上述现有技术存在的问题，提供一种基于知识图谱的第三方库安全风险分析方法及系统，为第三方库及调用过程中间接依赖时存在的漏洞或者隐藏漏洞进行安全风险分析。

技术方案：实现本发明目的的技术解决方案为：基于知识图谱的第三方库安全风险分析方法，所述方法包括以下步骤：

(1)采集项目依赖配置文件作为初始数据集，并从采集的文件中迭代获取多层第三方库lib信息及api调用关系，生成记录所有的第三方库实体的文件，以及记录第三方库实体间的精确到api级别的调用关系文件；

(2)根据步骤(1)中获取的lib信息在NVD数据库中索引CVE以搜集第三方库的漏洞信息，生成记录所有的漏洞实体的文件；

(3)根据漏洞实体的URLs属性获取含有漏洞的第三方库中受影响的api信息，生成记录第三方库和漏洞关系的文件；

(4)将步骤(1)-(3)生成的记录实体和关系的文件导入知识图谱工具生成知识图谱；

(5)通过构建好的知识图谱实现第三方库安全风险分析，得到CVE漏洞直接和间接影响到的第三方库。

进一步地，所述步骤(1)中使用并行迭代算法思想实现lib信息及api调用关系的数据爬取与整理，其中第三方库实体的属性包括lib的编号、版本号、类别和发布时间，具体步骤包括：

(1.1)从项目依赖配置文件中抽取出第一层第三方库信息lib₁；