申请/专利权人：深圳海云安网络安全技术有限公司

申请日：2023-10-24

公开（公告）日：2024-02-06

公开（公告）号：CN117113363B

主分类号：G06F21/57

分类号：G06F21/57;G06Q30/0601

优先权：

专利状态码：有效-授权

法律状态：2024.02.06#授权;2023.12.12#实质审查的生效;2023.11.24#公开

摘要：本发明公开了一种基于场景化多因子的第三方组件漏洞排名方法，涉及第三方组件漏洞领域，通过识别每个漏洞是否能在特定部署环境中被触发进行初次分类，然后根据组件所在环境的隔离或屏蔽情况进行进一步的分类。每个分类中的漏洞将根据CVSS评分、漏洞利用难度、组件可达性、软件等保定级和数据安全定级等多个因子进行评分，再通过权重计算综合评分。最后，根据这些综合评分，对漏洞进行优先排序。本发明结合具体部署场景评估第三方组件的漏洞，提供了更为实际和针对性的威胁评估，不仅仅依赖抽象的漏洞评分，而是将实际应用环境的具体因素纳入评估中，确保关键安全问题得到优先处理，使得漏洞管理更加有效和有针对性。

主权项：1.一种基于场景化多因子的第三方组件漏洞排名方法，其特征在于，包括搜集软件开发过程中多个不同场景下的多个第三方组件漏洞，并按照如下步骤对多个不同场景下的多个第三方组件漏洞组件进行依次排序：首先判断每个漏洞在部署环境中是否能被触发，所有判断为是的漏洞划分至第一族群，判断为不确定的漏洞划分至第二族群，判断为否的漏洞划分至第三族群；确定漏洞是否能被触发的方法包括：通过环境审查确定软件的运行环境配置来判断漏洞在部署环境中是否能被触发，以及在实际环境中尝试触发该漏洞以确认是否能被触发；在每个族群内，按照漏洞软件所处环境是否被隔离或是否采用手段屏蔽划分为三个子群，其中第一子群对应于未被隔离且未采用手段屏蔽，第二子群对应不确定，第三子群对应被隔离或采用手段屏蔽；在每个子群内，按照下面几个方面分别计算每个第三方组件漏洞的评分：（a）CVSS评分；（b）漏洞利用难度，难度越低评分越高；（c）漏洞组件在实际软件中的可达性，可达性越高评分越高；（d）漏洞所在软件的等保定级，定级越高，评分越高；（e）漏洞所在软件所使用的数据的数据安全定级，定级越高，评分越高；对每个方面的评分加权得到综合评分；将第一族群、第二族群、第三族群依次前后排列，在每个族群内，按照第一子群、第二子群、第三子群依次前后排列，在每个子群内，根据所述综合评分高低将第三方组件漏洞依次排列，其中所述综合评分高的排在前列。

全文数据：

权利要求：

百度查询： 深圳海云安网络安全技术有限公司 一种基于场景化多因子的第三方组件漏洞排名方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD