公开(公告)号：CN106446691A

公开(公告)日：2017-02-22

申请号：CN201611050817.5

申请日：2016-11-24

Applicant: 工业和信息化部电信研究院

Inventor： 倪昀泽 ,  潘娟 ,  杨正军 ,  王艳红 ,  李乔 ,  刘颖

IPC: G06F21/57

CPC classification number: G06F21/577

Abstract: 本发明提供了一种检测软件中集成或定制的开源项目漏洞的方法和装置，涉及软件漏洞检测技术领域。方法包括：从预先设置的搜集库中获取开源项目的原始漏洞信息；根据开源项目的原始漏洞信息，提取开源项目的漏洞描述信息、漏洞影响的软件或组件版本信息以及漏洞检测细节特征信息；根据开源项目的漏洞描述信息、漏洞影响的软件或组件版本信息以及漏洞检测细节特征信息建立漏洞检测数据库；漏洞检测数据库包括以预设索引顺序排列的各检测项；从待检测软件中提取待检测软件的代码和可执行文件；根据漏洞检测数据库中的各检测项，以预设索引顺序依次匹配检测待检测软件的代码和可执行文件，以确定待检测软件集成或定制的开源项目是否存在漏洞。

公开(公告)号：CN106446691B

公开(公告)日：2019-07-05

申请号：CN201611050817.5

申请日：2016-11-24

Applicant: 工业和信息化部电信研究院

Inventor： 倪昀泽 ,  潘娟 ,  杨正军 ,  王艳红 ,  李乔 ,  刘颖

IPC: G06F21/57

Abstract: 本发明提供了一种检测软件中集成或定制的开源项目漏洞的方法和装置，涉及软件漏洞检测技术领域。方法包括：从预先设置的搜集库中获取开源项目的原始漏洞信息；根据开源项目的原始漏洞信息，提取开源项目的漏洞描述信息、漏洞影响的软件或组件版本信息以及漏洞检测细节特征信息；根据开源项目的漏洞描述信息、漏洞影响的软件或组件版本信息以及漏洞检测细节特征信息建立漏洞检测数据库；漏洞检测数据库包括以预设索引顺序排列的各检测项；从待检测软件中提取待检测软件的代码和可执行文件；根据漏洞检测数据库中的各检测项，以预设索引顺序依次匹配检测待检测软件的代码和可执行文件，以确定待检测软件集成或定制的开源项目是否存在漏洞。