本說(shuō)明書(shū)涉及計(jì)算機(jī)，尤其涉及一種軟件供應(yīng)鏈的安全檢測(cè)方法、裝置、存儲(chǔ)介質(zhì)及電子設(shè)備。

背景技術(shù)：

1、在當(dāng)今數(shù)字化時(shí)代，隨著軟件成為組織運(yùn)營(yíng)的核心，軟件供應(yīng)鏈的安全性已成為一個(gè)至關(guān)重要的議題。軟件供應(yīng)鏈，涉及從代碼開(kāi)發(fā)到最終交付軟件的全過(guò)程，已成為攻擊者的新目標(biāo)。安全漏洞、惡意代碼注入、第三方依賴風(fēng)險(xiǎn)以及內(nèi)部威脅等問(wèn)題，不僅威脅到軟件的數(shù)據(jù)安全，更可能導(dǎo)致嚴(yán)重的經(jīng)濟(jì)損失和聲譽(yù)損害，在整個(gè)軟件開(kāi)發(fā)、分發(fā)和維護(hù)過(guò)程中存在多個(gè)潛在的風(fēng)險(xiǎn)點(diǎn)，這些風(fēng)險(xiǎn)點(diǎn)為攻擊者提供了多種入侵的途徑。

技術(shù)實(shí)現(xiàn)思路

1、本說(shuō)明書(shū)提供了一種軟件供應(yīng)鏈的安全檢測(cè)方法、裝置、存儲(chǔ)介質(zhì)及電子設(shè)備，所述技術(shù)方案如下：

2、第一方面，本說(shuō)明書(shū)提供了一種軟件供應(yīng)鏈的安全檢測(cè)方法，所述方法包括：

3、運(yùn)行軟件供應(yīng)鏈上的目標(biāo)測(cè)試軟件，采集所述目標(biāo)測(cè)試軟件的運(yùn)行行為數(shù)據(jù)；

4、確定針對(duì)所述目標(biāo)測(cè)試軟件的目標(biāo)行為基線規(guī)則，采用所述目標(biāo)行為基線規(guī)則對(duì)所述運(yùn)行行為數(shù)據(jù)進(jìn)行運(yùn)行行為檢測(cè)處理，得到行為檢測(cè)結(jié)果。

5、若所述行為檢測(cè)結(jié)果為異常行為類(lèi)型，則對(duì)所述目標(biāo)測(cè)試軟件進(jìn)行安全風(fēng)險(xiǎn)響應(yīng)處理。

6、第二方面，本說(shuō)明書(shū)提供了一種軟件供應(yīng)鏈的安全檢測(cè)裝置，所述裝置包括：

7、數(shù)據(jù)采集模塊，用于運(yùn)行軟件供應(yīng)鏈上的目標(biāo)測(cè)試軟件，采集所述目標(biāo)測(cè)試軟件的運(yùn)行行為數(shù)據(jù)；

8、行為檢測(cè)模塊，用于確定針對(duì)所述目標(biāo)測(cè)試軟件的目標(biāo)行為基線規(guī)則，采用所述目標(biāo)行為基線規(guī)則對(duì)所述運(yùn)行行為數(shù)據(jù)進(jìn)行運(yùn)行行為檢測(cè)處理，得到行為檢測(cè)結(jié)果。

9、風(fēng)險(xiǎn)響應(yīng)模塊，用于若所述行為檢測(cè)結(jié)果為異常行為類(lèi)型，則對(duì)所述目標(biāo)測(cè)試軟件進(jìn)行安全風(fēng)險(xiǎn)響應(yīng)處理。

10、第三方面，本說(shuō)明書(shū)提供一種計(jì)算機(jī)存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)存儲(chǔ)介質(zhì)存儲(chǔ)有至少一條指令，所述指令適于由處理器加載并執(zhí)行本說(shuō)明書(shū)一個(gè)或多個(gè)實(shí)施例的方法步驟。

11、第四方面，本說(shuō)明書(shū)提供一種計(jì)算機(jī)程序產(chǎn)品，所述計(jì)算機(jī)程序產(chǎn)品存儲(chǔ)有至少一條指令，所述指令適于由處理器加載并執(zhí)行本說(shuō)明書(shū)一個(gè)或多個(gè)實(shí)施例的方法步驟。

12、第五方面，本說(shuō)明書(shū)提供一種電子設(shè)備，可包括：處理器和存儲(chǔ)器；其中，所述存儲(chǔ)器存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序適于由所述處理器加載并執(zhí)行本說(shuō)明書(shū)一個(gè)或多個(gè)實(shí)施例的方法步驟。

13、本說(shuō)明書(shū)一些實(shí)施例提供的技術(shù)方案帶來(lái)的有益效果至少包括：

14、在本說(shuō)明書(shū)一個(gè)或多個(gè)實(shí)施例中，電子設(shè)備運(yùn)行軟件供應(yīng)鏈上的目標(biāo)測(cè)試軟件，采集目標(biāo)測(cè)試軟件的運(yùn)行行為數(shù)據(jù)，采用所確定的目標(biāo)行為基線規(guī)則對(duì)運(yùn)行行為數(shù)據(jù)進(jìn)行運(yùn)行行為檢測(cè)處理得到行為檢測(cè)結(jié)果，若行為檢測(cè)結(jié)果為異常行為類(lèi)型，則對(duì)目標(biāo)測(cè)試軟件進(jìn)行安全風(fēng)險(xiǎn)響應(yīng)處理，整個(gè)安全檢測(cè)過(guò)程可以實(shí)時(shí)監(jiān)測(cè)和響應(yīng)，可以有效地識(shí)別并響應(yīng)復(fù)雜和隱蔽的異常行為威脅，增強(qiáng)了對(duì)潛在安全威脅的可見(jiàn)性，還提高了對(duì)真實(shí)環(huán)境中惡意活動(dòng)的檢測(cè)準(zhǔn)確性，使得及時(shí)的安全風(fēng)險(xiǎn)響應(yīng)成為可能，從而大大提升了整個(gè)軟件供應(yīng)鏈的安全性和可靠性。

技術(shù)特征：

1.一種軟件供應(yīng)鏈的安全檢測(cè)方法，所述方法包括：

2.根據(jù)權(quán)利要求1所述的方法，所述確定針對(duì)所述目標(biāo)測(cè)試軟件的目標(biāo)行為基線規(guī)則，包括：

3.根據(jù)權(quán)利要求2所述的方法，所述基于所述目標(biāo)軟件關(guān)鍵運(yùn)行特征和所述軟件上下文信息從通用基線規(guī)則集合中選取目標(biāo)行為基線規(guī)則，包括：

4.根據(jù)權(quán)利要求1所述的方法，所述采用所述目標(biāo)行為基線規(guī)則對(duì)所述運(yùn)行行為數(shù)據(jù)進(jìn)行運(yùn)行行為檢測(cè)處理，得到行為檢測(cè)結(jié)果，包括：

5.根據(jù)權(quán)利要求1所述的方法，所述對(duì)所述目標(biāo)測(cè)試軟件進(jìn)行安全風(fēng)險(xiǎn)響應(yīng)處理，包括：

6.根據(jù)權(quán)利要求5所述的方法，所述基于所述行為檢測(cè)結(jié)果生成針對(duì)所述目標(biāo)測(cè)試軟件的異常行為報(bào)告，包括：

7.根據(jù)權(quán)利要求1所述的方法，所述方法還包括：

8.一種軟件供應(yīng)鏈的安全檢測(cè)裝置，所述裝置包括：

9.一種計(jì)算機(jī)存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)存儲(chǔ)介質(zhì)存儲(chǔ)有多條指令，所述指令適于由處理器加載并執(zhí)行如權(quán)利要求1～7任意一項(xiàng)的方法步驟。

10.一種計(jì)算機(jī)程序產(chǎn)品，該計(jì)算機(jī)程序產(chǎn)品存儲(chǔ)有至少一條指令，所述至少一條指令由處理器加載并執(zhí)行如權(quán)利要求1～7任意一項(xiàng)的方法步驟。

11.一種電子設(shè)備，包括：處理器和存儲(chǔ)器；其中，所述存儲(chǔ)器存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序適于由所述處理器加載并執(zhí)行如權(quán)利要求1～7任意一項(xiàng)的方法步驟。

技術(shù)總結(jié)
本說(shuō)明書(shū)公開(kāi)了一種軟件供應(yīng)鏈的安全檢測(cè)方法、裝置、存儲(chǔ)介質(zhì)及電子設(shè)備，其中，方法包括：運(yùn)行軟件供應(yīng)鏈上的目標(biāo)測(cè)試軟件，采集目標(biāo)測(cè)試軟件的運(yùn)行行為數(shù)據(jù)，確定針對(duì)目標(biāo)測(cè)試軟件的目標(biāo)行為基線規(guī)則，采用目標(biāo)行為基線規(guī)則對(duì)運(yùn)行行為數(shù)據(jù)進(jìn)行運(yùn)行行為檢測(cè)處理，得到行為檢測(cè)結(jié)果，若行為檢測(cè)結(jié)果為異常行為類(lèi)型，則對(duì)目標(biāo)測(cè)試軟件進(jìn)行安全風(fēng)險(xiǎn)響應(yīng)處理。

技術(shù)研發(fā)人員：周釗宇,孔令河,張園超
受保護(hù)的技術(shù)使用者：浙江網(wǎng)商銀行股份有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/6