【技术实现步骤摘要】
本专利技术涉及计算机应用,尤其涉及软件供应链领域,具体是指一种针对软件供应链全流程安全实现端到端保护及软件可视化治理的系统及其方法。
技术介绍
1、随着信息技术的快速发展,软件系统已经成为支撑现代社会的关键基础设施。然而,软件供应链的安全问题也日益凸显,成为制约软件产业健康发展的重要因素。传统的软件安全管理方法往往侧重于单一阶段的安全控制,缺乏对软件全生命周期的端到端安全保护。同时,完整软件治理流程的缺失,也严重影响了风险响应处理的质量和效率。
2、为了解决上述问题,本专利技术提出了一种软件供应链全流程安全端到端保护及软件可视化治理的方法和系统。本专利技术通过闭环化的监控、检测、修复和预防措施,实现了对软件供应链全流程的严密安全端到端管理。同时,通过可视化的手段,使得管理人员能够直观了解软件的安全状态和风险分布,提高了软件治理的效率和准确性。
技术实现思路
1、本专利技术的目的是克服了上述现有技术的缺点,提供了一种满足效率高、准确性高、适用范围较为广泛的针对软件供应链全流程安全实现端到端保护及软件可视化治理的系统及其方法。
2、为了实现上述目的,本专利技术的针对软件供应链全流程安全实现端到端保护及软件可视化治理的系统及其方法如下:
3、该针对软件供应链全流程安全实现端到端保护及软件可视化治理的系统,其主要特点是,所述的系统包括:
4、软件供应链治理引擎,用于通过多种探测手段实时监控和深度检测,管理软件的生命周期;
5、软件
6、较佳地,所述的系统还包括:
7、治理数据同步引擎,与所述的软件供应链治理引擎相连接,还与各周边系统相连接,用于接收和发送治理数据,实现多组件对治理数据的交互处理,完成多个探测模块之间的数据交互;
8、流程通知引擎,与所述的软件安全风险处理引擎相连接,用于在引入、审批和漏洞的通知、豁免审批、复测的流程中确保及时有效的响应。
9、较佳地,所述的系统还包括分布式数据库,与所述的软件供应链治理引擎、软件安全风险处理引擎、治理数据同步引擎、流程通知引擎相连接,用于支持实现数据节点扩展,实现大容量漏洞数据存储交互,实现分布式事务。
10、较佳地,所述的系统包括应用层,所述的软件供应链治理引擎、软件安全风险处理引擎、治理数据同步引擎和流程通知引擎均设置在系统的应用层中。
11、较佳地,所述的系统还包括展示层,所述的展示层与所述的应用层相连接,所述的展示层中设置有运营管理引擎,所述的运营管理引擎用于查询和展示系统软件供应链概况、软件管理、漏洞闭环、报表中心和审计流水,并串联各个实施步骤。
12、较佳地,所述的软件供应链治理引擎对多个不同阶段进行检测与监控,所述的多个不同阶段包括需求定义阶段、开发编码阶段、系统集成阶段、验证测试阶段、发布上线阶段、运维管理阶段。
13、较佳地,所述的软件安全风险处理引擎构建的软件安全风险处理全流程闭环机制,包括扫描、高效处理、条件豁免、复测验证和修复跟踪。
14、较佳地,所述的软件供应链治理引擎管理软件的生命周期,具体包括以下操作步骤:
15、(1-1)软件登记,进行软件基础信息填写;
16、(1-2)检测软件制品,根据上传或下载的软件制品包进行组件依赖检测和制品成分分析;
17、(1-3)上传软件文档;
18、(1-4)从功能性和非功能性多个角度对软件进行评估;
19、(1-5)根据软件的扫描结果、文档情况和评估结果进行评估准入;
20、(1-6)根据软件使用情况,从功能性评测、非功能性评测、安全合规性、服务支持和软件活力及评价的角度对构建的软件评估模型进行持续评估;
21、(1-7)将不符合要求的软件执行退出流程。
22、较佳地,所述的软件安全风险处理引擎构建完整的软件安全风险处理全流程闭环机制,具体包括以下操作步骤:
23、(2-1)所述的软件供应链治理引擎在各个阶段进行探测,发现漏洞,在软件供应链治理引擎进行流程把控;
24、(2-2)通过流程通知引擎将高危漏洞即时通知到相应责任人;
25、(2-3)通过运营管理引擎进行漏洞的处理、指派和豁免;
26、(2-4)针对不同的漏洞,进行豁免审批或漏洞复测;
27、(2-5)通过软件供应链治理引擎再次进行探测,形成漏洞的闭环。
28、该利用上述系统实现针对软件供应链全流程安全进行端到端保护及软件可视化治理的方法,其主要特点是,所述的方法包括以下步骤:
29、(1)所述的软件供应链治理引擎基于软件的需求定义阶段,针对用户提交的需求设计文档,判定可能存在的风险点,提供预警;
30、(2)所述的软件供应链治理引擎基于软件的开发编码阶段,针对开发者提交的代码进行扫描和探测,定位代码存在的安全隐患;
31、(3)所述的软件供应链治理引擎基于软件的系统集成阶段,在程序构建流水线构建完成后,对制品包进行软件成分分析和组件依赖检测;
32、(4)所述的软件供应链治理引擎基于软件的验证测试阶段,在测试服务器进行插桩,通过接口流量进行漏洞实时探测;
33、(5)所述的软件供应链治理引擎基于软件的发布上线阶段,在生产部署程序前,再次对构建的制品包进行软件成分分析和组件依赖检测;
34、(6)所述的软件供应链治理引擎基于软件的运维管理阶段,进行资产发现与指纹识别、漏洞数据库匹配、漏洞验证与深度检测或渗透测试,保障软件系统安全。
35、较佳地,所述的步骤(1)具体包括以下步骤:
36、(1.1)建立与提供需求设计文档模板;
37、(1.2)将完成后的需求设计文档上传至管理平台;
38、(1.3)定时获取需求设计文档,进行需求定义内容分析,判定可能存在的风险点;
39、(1.4)根据文档关联信息提供预警。
40、较佳地,所述的步骤(2)具体包括以下步骤:
41、进行代码基本信息检测,包括开发语言、源代码行数、开源代码比例、缺陷总数和缺陷密度;
42、进行代码缺陷类型检测,缺陷类型包括密码管理、代码注入、代码质量和输入验证。
43、较佳地,所述的步骤(3)具体包括以下步骤:
44、(3.1)通过代码构建工具或流水线平台统一构建制品包;
45、(3.2)将制品包直接自动上传至统一制品库;
46、(3.3)在流水线中自动扫描制品包;
47、(3.4)根据扫描结果控制集成进展并将结果通知相关人员。
48、较佳地,所述的步骤(4)具体包括以下步骤:
49、(4.1)在特定的服务器上安装代理程序,来截本文档来自技高网...
【技术保护点】
1.一种针对软件供应链全流程安全实现端到端保护及软件可视化治理的系统,其特征在于,所述的系统包括:
2.根据权利要求1所述的针对软件供应链全流程安全实现端到端保护及软件可视化治理的系统,其特征在于,所述的系统还包括:
3.根据权利要求2所述的针对软件供应链全流程安全实现端到端保护及软件可视化治理的系统,其特征在于,所述的系统还包括分布式数据库,与所述的软件供应链治理引擎、软件安全风险处理引擎、治理数据同步引擎、流程通知引擎相连接,用于支持实现数据节点扩展,实现大容量漏洞数据存储交互,实现分布式事务。
4.根据权利要求2所述的针对软件供应链全流程安全实现端到端保护及软件可视化治理的系统,其特征在于,所述的系统包括应用层,所述的软件供应链治理引擎、软件安全风险处理引擎、治理数据同步引擎和流程通知引擎均设置在系统的应用层中。
5.根据权利要求4所述的针对软件供应链全流程安全实现端到端保护及软件可视化治理的系统,其特征在于,所述的系统还包括展示层,所述的展示层与所述的应用层相连接,所述的展示层中设置有运营管理引擎,所述的运营管理引擎用于查询
6.根据权利要求1所述的针对软件供应链全流程安全实现端到端保护及软件可视化治理的系统,其特征在于,所述的软件供应链治理引擎对多个不同阶段进行检测与监控,所述的多个不同阶段包括需求定义阶段、开发编码阶段、系统集成阶段、验证测试阶段、发布上线阶段、运维管理阶段。
7.根据权利要求1所述的针对软件供应链全流程安全实现端到端保护及软件可视化治理的系统,其特征在于,所述的软件安全风险处理引擎构建的软件安全风险处理全流程闭环机制,包括扫描、高效处理、条件豁免、复测验证和修复跟踪。
8.根据权利要求1所述的针对软件供应链全流程安全实现端到端保护及软件可视化治理的系统,其特征在于,所述的软件供应链治理引擎管理软件的生命周期,具体包括以下操作步骤:
9.根据权利要求1所述的针对软件供应链全流程安全实现端到端保护及软件可视化治理的系统,其特征在于,所述的软件安全风险处理引擎构建完整的软件安全风险处理全流程闭环机制,具体包括以下操作步骤:
10.一种基于权利要求1所述的系统实现针对软件供应链全流程安全进行端到端保护及软件可视化治理的方法,其特征在于,所述的方法包括以下步骤:
11.根据权利要求1所述的实现针对软件供应链全流程安全进行端到端保护及软件可视化治理的方法,其特征在于,所述的步骤(1)具体包括以下步骤:
12.根据权利要求1所述的实现针对软件供应链全流程安全进行端到端保护及软件可视化治理的方法,其特征在于,所述的步骤(2)具体包括以下步骤:
13.根据权利要求1所述的实现针对软件供应链全流程安全进行端到端保护及软件可视化治理的方法,其特征在于,所述的步骤(3)具体包括以下步骤:
14.根据权利要求1所述的实现针对软件供应链全流程安全进行端到端保护及软件可视化治理的方法,其特征在于,所述的步骤(4)具体包括以下步骤:
15.根据权利要求1所述的实现针对软件供应链全流程安全进行端到端保护及软件可视化治理的方法,其特征在于,所述的步骤(6)具体包括以下步骤:
...【技术特征摘要】
1.一种针对软件供应链全流程安全实现端到端保护及软件可视化治理的系统,其特征在于,所述的系统包括:
2.根据权利要求1所述的针对软件供应链全流程安全实现端到端保护及软件可视化治理的系统,其特征在于,所述的系统还包括:
3.根据权利要求2所述的针对软件供应链全流程安全实现端到端保护及软件可视化治理的系统,其特征在于,所述的系统还包括分布式数据库,与所述的软件供应链治理引擎、软件安全风险处理引擎、治理数据同步引擎、流程通知引擎相连接,用于支持实现数据节点扩展,实现大容量漏洞数据存储交互,实现分布式事务。
4.根据权利要求2所述的针对软件供应链全流程安全实现端到端保护及软件可视化治理的系统,其特征在于,所述的系统包括应用层,所述的软件供应链治理引擎、软件安全风险处理引擎、治理数据同步引擎和流程通知引擎均设置在系统的应用层中。
5.根据权利要求4所述的针对软件供应链全流程安全实现端到端保护及软件可视化治理的系统,其特征在于,所述的系统还包括展示层,所述的展示层与所述的应用层相连接,所述的展示层中设置有运营管理引擎,所述的运营管理引擎用于查询和展示系统软件供应链概况、软件管理、漏洞闭环、报表中心和审计流水,并串联各个实施步骤。
6.根据权利要求1所述的针对软件供应链全流程安全实现端到端保护及软件可视化治理的系统,其特征在于,所述的软件供应链治理引擎对多个不同阶段进行检测与监控,所述的多个不同阶段包括需求定义阶段、开发编码阶段、系统集成阶段、验证测试阶段、发布上线阶段、运维管理阶段。
7.根据权利要求1所述的针对软件供应链全流程安全实现端到端保护及软件...
【专利技术属性】
技术研发人员:俞枫,刘传友,张忍,张伦鸿,
申请(专利权)人:国泰君安证券股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。