[发明专利]组件安全检测方法、装置、防火墙及组件下载系统

说明书

本申请公开一种组件安全检测方法、装置、防火墙及组件下载系统，其中方法包括：实时监测服务器的代码流并从所述代码流中获取待下载组件的信息，所述代码流由研发工具端向所述服务器发起的组件下载请求触发，所述代码流执行下载组件的行为；将所述待下载组件的信息与组件风险库中的组件风险信息进行匹配；如果匹配成功，截断所述服务器的代码流。本申请可以减少对安全扫描工具的依赖、问题发现时效性高且能够阻断开发人员引入风险组件的行为。

技术领域

本申请涉及组件匹配技术领域，具体涉及一种组件安全检测方法、装置、防火墙及组件下载系统。

背景技术

私服安全，这几年随着软件成分分析技术的成熟，也越来越得到相关企业的重视，特别是当前开源组件的大量使用年代，企业为了更好的服务自身，以及从效率和安全出发，都会选择在本地搭建开源组件私服(如nexus)，它从一定程度上方便了企业的内部组件使用效率。但是由于私服中主要是企业需要引入的开源组件，而当下开源组件的安全风险问题也是日趋严重，所以常规企业在对于私服安全主要采用以下方式(工具+制度)：

企业内部安全部门会借助于相关商业化或者开源工具对私服仓库进行全量化扫描，通过定期全量化扫描获取企业内部的私服的安全风险问题(如漏洞、许可等)。这种方式在很大程度上解决了用户人力审计的困局，提高了安全部门的审计效率，但是也存在以下问题：

1、私服多且开源组件数量多，常规的私服安全扫描工具扫描周期耗时长；

2、开发人员安全意识薄弱，对于私服中存在安全的组件无意识，直接使用，导致安全管控严重滞后；

3、依赖于被动或者周期性扫描，问题发现时效性较差。

因此，有必要提供一种组件安全检测方法，能够解决现有技术中存在的至少部分技术问题。

发明内容

本申请的目的在于提供一种组件安全检测方法、装置、防火墙及计算机可读存储介质，可以减少对安全扫描工具的依赖、问题发现时效性高且能够阻断开发人员引入风险组件的行为。

本申请的另一目的在于提供一种组件下载系统，可以减少对安全扫描工具的依赖、问题发现时效性高且能够阻断开发人员引入风险组件的行为。

为实现上述目的，本申请提供了一种组件安全检测方法，包括：

实时监测服务器的代码流并从所述代码流中获取待下载组件的信息，所述代码流由研发工具端向所述服务器发起的组件下载请求触发，所述代码流执行下载组件的行为；

将所述待下载组件的信息与组件风险库中的组件风险信息进行匹配；

如果匹配成功，截断所述服务器的代码流。

可选地，所述“实时监测服务器的代码流”之前，所述方法还包括：

对所述服务器进行代码插桩以监测所述代码流。

可选地，所述下载组件的行为包括：

如果所述服务器缓存有对应的所述待下载组件，将缓存的所述待下载组件提供给所述研发工具端；

如果所述服务器没有缓存对应的所述待下载组件，所述服务器向中央仓库发起下载请求并缓存从所述中央仓库下载到的所述待下载组件。

可选地，所述组件风险信息包括组件漏洞信息和/或组件合规信息。

可选地，所述“匹配成功”之后，所述方法还包括：发送通知消息给所述研发工具端。

为实现上述目的，本申请还提供了一种组件安全检测装置，包括：

监测获取模块，用于实时监测服务器的代码流并从所述代码流中获取待下载组件的信息，所述代码流由研发工具端向所述服务器发起的组件下载请求触发，所述代码流执行下载组件的行为；