本技術涉及軟件安全，特別是涉及一種開源軟件供應鏈的安全管理方法、系統(tǒng)、計算機設備、計算機可讀存儲介質和計算機程序產品。

背景技術：

1、開源軟件是指源代碼向公眾開放，允許任何人查看、使用、修改和分發(fā)的軟件；開源軟件供應鏈是指由開源軟件中的開源組件及其依賴關系構成的供應網(wǎng)絡，涵蓋開源軟件的開發(fā)、維護、軟件包的管理和分發(fā)等多個環(huán)節(jié)。

2、在相關技術中，由于開源軟件允許任何人查看、使用、修改和分發(fā)，從而導致開源軟件供應鏈的安全風險較高，例如，惡意攻擊者可能會對發(fā)布包含惡意代碼的軟件包進行偽裝，并將其發(fā)布在軟件包分發(fā)平臺上，誘使用戶下載，從而破壞用戶使用了該軟件包的系統(tǒng)。

技術實現(xiàn)思路

1、基于此，有必要針對上述開源軟件供應鏈的安全風險較高的技術問題，提供一種能夠降低安全風險的開源軟件供應鏈的安全管理方法、系統(tǒng)、計算機設備和計算機可讀存儲介質。

2、第一方面，本技術提供了一種開源軟件供應鏈的安全管理方法，包括：

3、采集開源軟件的關聯(lián)信息；

4、從所述關聯(lián)信息中，抽取出所述開源軟件的開源軟件供應鏈中的各實體、所述開源軟件供應鏈中與所述開源軟件的安全風險關聯(lián)的各軟件事件，以及所述各實體之間的關聯(lián)關系，作為所述開源軟件供應鏈的供應鏈知識；所述各實體至少包括所述開源軟件對應的組件、漏洞和補丁，所述軟件事件至少包括增加所述安全風險的第一軟件事件和減少所述安全風險的第二軟件事件；

5、基于所述供應鏈知識，得到所述開源軟件供應鏈的供應鏈知識圖譜；

6、在基于所述供應鏈知識圖譜，確定所述開源軟件供應鏈中存在風險事件的情況下，發(fā)出針對所述風險事件的預警信息和應急響應策略。

7、在其中一個實施例中，所述從所述關聯(lián)信息中，抽取出所述開源軟件的開源軟件供應鏈中的各實體、所述開源軟件供應鏈中與所述開源軟件的安全風險關聯(lián)的各軟件事件，以及所述各實體之間的關聯(lián)關系，包括：

8、基于預先訓練得到的知識抽取模型，從所述關聯(lián)信息中，抽取出所述開源軟件對應的各組件、各漏洞和各補丁，得到所述各實體；

9、基于所述知識抽取模型和所述各實體，從所述關聯(lián)信息中，抽取出所述開源軟件供應鏈中，增加所述安全風險的各第一軟件事件和減少所述安全風險的各第二軟件事件，得到所述各軟件事件；

10、基于所述知識抽取模型，從所述關聯(lián)信息和所述各軟件事件中，抽取出所述各組件之間的第一關聯(lián)關系、所述各組件與所述各漏洞之間的第二關聯(lián)關系、所述各補丁與所述各漏洞之間的第三關聯(lián)關系以及所述各組件與所述各補丁之間的第四關聯(lián)關系，得到所述各實體之間的關聯(lián)關系；

11、將所述各實體、所述各實體之間的關聯(lián)關系，以及所述各軟件事件確定為所述開源軟件供應鏈的供應鏈知識；

12、其中，兩個組件之間的第一關聯(lián)關系表征所述兩個組件之間是否存在依賴關系；每個組件與每個漏洞之間的第二關聯(lián)關系表征所述組件中是否存在所述漏洞；每個補丁與每個漏洞之間的第三關聯(lián)關系表征所述補丁是否為針對所述的漏洞所發(fā)布的補?。幻總€組件與每個補丁之間的第四關聯(lián)關系表征所述組件是否應用了所述補丁。

13、在其中一個實施例中，所述基于所述供應鏈知識，得到所述開源軟件供應鏈的供應鏈知識圖譜，包括：

14、構建每個實體對應的節(jié)點；

15、基于所述各實體之間的關聯(lián)關系，確定各節(jié)點之間的連接邊；

16、基于所述各軟件事件，確定所述各節(jié)點之間的連接邊的權重；

17、基于所述各節(jié)點、所述各節(jié)點之間的連接邊以及所述各節(jié)點之間的連接邊的權重，構建得到所述供應鏈知識圖譜。

18、在其中一個實施例中，所述供應鏈知識圖譜中的節(jié)點至少包括對應于每個組件的組件節(jié)點、對應于每個漏洞的漏洞節(jié)點和對應于每個補丁的補丁節(jié)點；

19、所述在基于所述供應鏈知識圖譜，確定所述開源軟件供應鏈中存在風險事件的情況下，發(fā)出針對所述風險事件的預警信息和應急響應策略，包括：

20、針對所述供應鏈知識圖譜中的每個漏洞節(jié)點，基于所述漏洞節(jié)點與所述供應鏈知識圖譜中的其余節(jié)點之間的連接關系，確定所述漏洞節(jié)點的風險信息；

21、在所述風險信息大于或者等于預設風險信息的情況下，確定開源軟件供應鏈中存在所述漏洞節(jié)點對應的風險事件；

22、生成針對風險事件的預警信息，并基于所述漏洞節(jié)點與所述其余節(jié)點之間的連接關系，確定針對所述風險事件的應急響應策略；

23、發(fā)出所述預警信息和所述應急響應策略。

24、在其中一個實施例中，所述基于所述漏洞節(jié)點與所述供應鏈知識圖譜中的其余節(jié)點之間的連接關系，確定所述漏洞節(jié)點的風險信息，包括：

25、基于所述漏洞節(jié)點與所述供應鏈知識圖譜中的組件節(jié)點之間的連接關系，確定所述漏洞節(jié)點在所述供應鏈知識圖譜中的影響區(qū)域；

26、基于所述影響區(qū)域中的組件節(jié)點，以及所述漏洞節(jié)點與所述影響區(qū)域中的組件節(jié)點之間的連接關系，確定所述漏洞節(jié)點的風險信息；

27、所述基于所述漏洞節(jié)點與所述其余節(jié)點之間的連接關系，確定針對所述漏洞節(jié)點對應的第一軟件事件的應急響應策略，包括：

28、基于所述漏洞節(jié)點與所述影響區(qū)域中的補丁節(jié)點之間的連接關系，在所述影響區(qū)域中的補丁節(jié)點中，確定出用于修復所述漏洞節(jié)點的目標補丁節(jié)點，基于所述漏洞節(jié)點與所述影響區(qū)域中的組件節(jié)點之間的連接關系，在所述影響區(qū)域中的組件節(jié)點中，確定出待應用所述目標補丁節(jié)點的目標組件節(jié)點；

29、基于所述目標補丁節(jié)點和所述目標組件節(jié)點，確定針對所述風險事件的應急響應策略。

30、在其中一個實施例中，在基于所述供應鏈知識，得到所述開源軟件供應鏈的供應鏈知識圖譜之后，還包括：

31、接收針對所述開源軟件供應鏈的查詢請求；

32、在所述供應鏈知識圖譜中的各節(jié)點中，定位與所述查詢請求關聯(lián)的目標節(jié)點；

33、基于所述目標節(jié)點與所述供應鏈知識圖譜中的其余節(jié)點之間的連接關系，生成所述查詢請求對應的查詢結果；

34、展示所述查詢結果。

35、在其中一個實施例中，在基于所述供應鏈知識，得到所述開源軟件供應鏈的供應鏈知識圖譜之后，還包括：

36、基于所述供應鏈知識圖譜中的各節(jié)點之間的連接關系，確定所述開源軟件供應鏈在至少一個安全風險指標下的指標值；

37、展示所述供應鏈知識圖譜和所述開源軟件供應鏈在各安全風險指標下的指標值。

38、第二方面，本技術還提供了一種開源軟件供應鏈的安全管理系統(tǒng)，包括：

39、信息采集層，用于采集開源軟件的關聯(lián)信息；

40、知識抽取層，用于抽取出所述開源軟件的開源軟件供應鏈中的各實體、所述開源軟件供應鏈中與所述開源軟件的安全風險關聯(lián)的各軟件事件，以及所述各實體之間的關聯(lián)關系，作為所述開源軟件供應鏈的供應鏈知識；所述各實體至少包括所述開源軟件對應的組件、漏洞和補丁，所述軟件事件至少包括增加所述安全風險的第一軟件事件和減少所述安全風險的第二軟件事件；

41、知識表示層，用于基于所述供應鏈知識，得到所述開源軟件供應鏈的供應鏈知識圖譜；

42、風險預警層，用于在基于所述供應鏈知識圖譜，確定所述開源軟件供應鏈中存在風險事件的情況下，發(fā)出針對所述風險事件的預警信息和應急響應策略。

43、第三方面，本技術還提供了一種計算機設備，包括存儲器和處理器，所述存儲器存儲有計算機程序，所述處理器執(zhí)行所述計算機程序時實現(xiàn)以下步驟：

44、采集開源軟件的關聯(lián)信息；

45、從所述關聯(lián)信息中，抽取出所述開源軟件的開源軟件供應鏈中的各實體、所述開源軟件供應鏈中與所述開源軟件的安全風險關聯(lián)的各軟件事件，以及所述各實體之間的關聯(lián)關系，作為所述開源軟件供應鏈的供應鏈知識；所述各實體至少包括所述開源軟件對應的組件、漏洞和補丁，所述軟件事件至少包括增加所述安全風險的第一軟件事件和減少所述安全風險的第二軟件事件；

46、基于所述供應鏈知識，得到所述開源軟件供應鏈的供應鏈知識圖譜；

47、在基于所述供應鏈知識圖譜，確定所述開源軟件供應鏈中存在風險事件的情況下，發(fā)出針對所述風險事件的預警信息和應急響應策略。

48、第四方面，本技術還提供了一種計算機可讀存儲介質，其上存儲有計算機程序，所述計算機程序被處理器執(zhí)行時實現(xiàn)以下步驟：

49、采集開源軟件的關聯(lián)信息；

50、從所述關聯(lián)信息中，抽取出所述開源軟件的開源軟件供應鏈中的各實體、所述開源軟件供應鏈中與所述開源軟件的安全風險關聯(lián)的各軟件事件，以及所述各實體之間的關聯(lián)關系，作為所述開源軟件供應鏈的供應鏈知識；所述各實體至少包括所述開源軟件對應的組件、漏洞和補丁，所述軟件事件至少包括增加所述安全風險的第一軟件事件和減少所述安全風險的第二軟件事件；

51、基于所述供應鏈知識，得到所述開源軟件供應鏈的供應鏈知識圖譜；

52、在基于所述供應鏈知識圖譜，確定所述開源軟件供應鏈中存在風險事件的情況下，發(fā)出針對所述風險事件的預警信息和應急響應策略。

53、上述開源軟件供應鏈的安全管理方法、系統(tǒng)、計算機設備和計算機可讀存儲介質，首先，采集開源軟件的關聯(lián)信息；然后，從關聯(lián)信息中，抽取出開源軟件的開源軟件供應鏈中的各實體、開源軟件供應鏈中與開源軟件的安全風險關聯(lián)的各軟件事件，以及各實體之間的關聯(lián)關系，作為開源軟件供應鏈的供應鏈知識；各實體至少包括開源軟件對應的組件、漏洞和補丁，軟件事件至少包括增加安全風險的第一軟件事件和減少安全風險的第二軟件事件；接著，基于供應鏈知識，得到開源軟件供應鏈的供應鏈知識圖譜；再然后，在基于供應鏈知識圖譜，確定開源軟件供應鏈中存在風險事件的情況下，發(fā)出針對風險事件的預警信息和應急響應策略。這樣，通過信息抽取，能夠從開源軟件的關聯(lián)信息中抽取出開源軟件供應鏈中的組件、漏洞和補丁等實體、增加開源軟件的安全風險的第一軟件事件和減少開源軟件的安全風險的第二軟件事件以及各實體之間的關聯(lián)關系，從而得到開源軟件供應鏈的供應鏈知識；基于供應鏈知識，能夠得到對應的供應鏈知識圖譜；基于供應鏈知識圖譜，能夠對開源軟件供應鏈中的風險事件的存在情況，并在存在風險事件的情況下，發(fā)出對應的預警信息和應急響應策略；基于上述過程的開源軟件供應鏈的安全管理方法，能夠對開源軟件供應鏈中的風險事件進行及時預警并提供應急響應策略，從而能夠降低開源軟件供應鏈的安全風險。