基于依赖关系的软件安全检查方法、装置、计算机设备及存储介质

技术领域

本发明涉及网络信息安全技术领域，尤其涉及一种基于依赖关系的软件安全检查方法、装置、计算机设备及存储介质。

背景技术

随着网络信息安全重要性的提升，对于软件安全的要求也随之提升。软件安全问题一般是指由于软件存在漏洞，使得他人可通过漏洞攻击软件。现在一般采用安全感知平台收纳和管理软件，被安全感知平台所管理的软件简称纳管软件，目前的安全感知平台只能从宏观上对纳管软件本身进行监测从而判断纳管软件是否存在漏洞，但是无法进一步监测纳管软件的组件是否存在漏洞，导致存在安全隐患。

发明内容

本发明实施例提供了一种基于依赖关系的软件安全检查方法、装置、计算机设备及存储介质，能够及时确认纳管软件以及其依赖软件是否存在漏洞，并在存在漏洞时生成相应的漏洞报告，从而确保纳管软件的安全。

第一方面，本发明实施例提供了一种基于依赖关系的软件安全检查方法，该方法包括：

获取漏洞信息，并解析所述漏洞信息以确认携带有漏洞的风险软件名称；

判断纳管软件库中是否存在与所述风险软件名称相匹配的纳管软件；

若不存在与所述风险软件名称相匹配的所述纳管软件，获取预设依赖信息库，并判断所述依赖信息库中是否存在与所述风险软件名称相匹配的依赖软件；

若存在与所述风险软件名称相匹配的依赖软件，从所述纳管软件库中识别出依赖于所述依赖软件的纳管软件并标识为第一类软件；

根据所识别出的第一类软件和所述漏洞信息生成所述第一类软件的漏洞报告。

第二方面，本发明实施例还提供了一种基于依赖关系的软件安全检查装置，该装置包括：

漏洞信息解析单元，用于获取漏洞信息，并解析所述漏洞信息以确认携带有漏洞的风险软件名称；

第一判断单元，用于判断纳管软件库中是否存在与所述风险软件名称相匹配的纳管软件；

第二判断单元，用于若不存在与所述风险软件名称相匹配的所述纳管软件，获取预设依赖信息库，并判断所述依赖信息库中是否存在与所述风险软件名称相匹配的依赖软件；

第一类软件确认单元，用于若存在与所述风险软件名称相匹配的依赖软件，从所述纳管软件库中识别出依赖于所述依赖软件的纳管软件并标识为第一类软件；

漏洞报告生成单元，用于根据所识别出的第一类软件和所述漏洞信息生成所述第一类软件的漏洞报告。

第三方面，本发明实施例还提供了一种计算机设备，其包括存储器及处理器，所述存储器上存储有计算机程序，所述处理器执行所述计算机程序时实现上述方法。

第四方面，本发明实施例还提供了一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序当被处理器执行时可实现上述方法。

本发明实施例提供了一种基于依赖关系的软件安全检查方法、装置、计算机设备及存储介质。其中，所述方法包括：获取漏洞信息，并解析所述漏洞信息以确认携带有漏洞的风险软件名称；判断纳管软件库中是否存在与所述风险软件名称相匹配的纳管软件；若不存在与所述风险软件名称相匹配的所述纳管软件，获取预设依赖信息库，并判断所述依赖信息库中是否存在与所述风险软件名称相匹配的依赖软件；若存在与所述风险软件名称相匹配的依赖软件，从所述纳管软件库中识别出依赖于所述依赖软件的纳管软件并标识为第一类软件；根据所识别出的第一类软件和所述漏洞信息生成所述第一类软件的漏洞报告。本发明实施例可以在获取漏洞信息时，及时解析该漏洞信息以获得携带有漏洞的风险软件名称，从而可以判断在所管理的纳管软件中是否存在与风险软件名称相匹配的纳管软件，当不存在相匹配的纳管软件时，可以进一步判断纳管软件所依赖的依赖软件是否存在与风险软件名称相匹配的信息，当存在依赖软件与风险软件名称相匹配时，确认该依赖软件所对应的纳管软件，并将该纳管软件标识为第一类软件，从而生成第一类软件的漏洞报告，实现对纳管软件全方位的监控，避免存在安全隐患。

附图说明

为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的基于依赖关系的软件安全检查方法的流程示意图；

图2是本发明实施例提供的基于依赖关系的软件安全检查方法的依赖信息表；

图3是本发明另一实施例提供的基于依赖关系的软件安全检查方法的流程示意图；

图4是本发明实施例提供的基于依赖关系的软件安全检查方法漏洞信息表；

图5是本发明另一实施例提供的基于依赖关系的软件安全检查方法的流程示意图；

图6是本发明另一实施例提供的基于依赖关系的软件安全检查方法的流程示意图；

图7是本发明实施例提供的基于依赖关系的软件安全检查方法的子流程示意图；

图8是本发明实施例提供的基于依赖关系的软件安全检查装置的示意性框图；

图9是本发明另一实施例提供的基于依赖关系的软件安全检查装置的示意性框图；

图10是本发明另一实施例提供的基于依赖关系的软件安全检查装置的示意性框图；

图11是本发明实施例提供的基于依赖关系的软件安全检查装置的漏洞信息解析单元的示意性框图；

图12是本发明实施例提供的基于依赖关系的软件安全检查装置的第二判断单元的示意性框图；

图13是本发明实施例提供的计算机设备的示意性框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

请参阅图1，图1是本发明实施例提供的基于依赖关系的软件安全检查方法的流程示意图。本发明实施例的基于依赖关系的软件安全检查方法可以及时确认软件的第三方软件包中是否存在漏洞。如图1所示，该方法包括步骤S110～S150。

S110，获取漏洞信息，并解析所述漏洞信息以确认携带有漏洞的风险软件名称。

在本发明实施例中，一些网站会定时公布漏洞信息，例如，国家信息安全漏洞共享平台，当这些网站公布有新的漏洞信息时，获取该新的漏洞信息并将其确认为待确认漏洞信息。如图2所示，待确认漏洞信息一般包括有漏洞名称、公开日期、危害级别、影响产品、漏洞描述以及厂商补丁等信息，通过解析待确认漏洞信息以获得影响产品(带有漏洞的风险软件)、漏洞描述以及漏洞解决方案等相关信息，通过解析漏洞信息以获取带有漏洞的风险软件名称，便于排查纳管软件和其依赖软件中是否有软件与该风险软件名称匹配。

在某些实施例，例如本实施例中，如图3所示，所述步骤S110步骤之前可以包括步骤S110a-S110b。

S110a，获取所述纳管软件的依赖文件，并解析所述依赖文件以获得所述纳管软件的依赖信息，其中，所述依赖信息包括依赖软件名称和依赖软件版本号。

在本发明实施例中，安全感知平台一般用于收纳和管理软件，被收纳和管理的软件可以简称为纳管软件，纳管软件包含有基本信息和依赖信息，其基本信息一般是指应用软件的名称、应用软件的版本以及该应用软件的联系人和联系方式，而其依赖信息一般是指应用软件所依赖的依赖软件的相关信息，对于一个应用软件来说，一般包含有应用软件本体以及用于支持应用软件本体的依赖组件，依赖组件本身可以是一个应用软件，也即对于安全管理平台来说，纳管软件的组成包括纳管软件的本体和其依赖软件。其中，依赖文件是由用户上传至安全感知平台，因此，可以直接获取依赖文件，并且确认依赖文件的类型，依赖文件的类型包括但不限于pom、gradle以及json等类型，不同类型的依赖文件的管理工具也不同，pom类型的依赖文件的管理工具为maven，可以调用maven解析pom类型的依赖文件，而依赖文件记录有纳管软件的所有依赖软件的相关信息，例如，依赖软件名称和依赖软件版本号，一般情况下，一个纳管软件需要依赖多个依赖软件才能正常运行。基于不同的依赖文件的类型，需要不同的管理工具解析依赖文件，例如，依赖文件的类型如果是pom.xml，则相关信息可以是groupid、artifactid和versionss，其中，groupid为通常为域名和公司名称，artifactid为通常为项目名称，groupid和artifactid构成依赖软件名称，versionss为依赖软件版本号，根据依赖文件的不同，依赖信息具体的体现形式也不同。

S110b，根据所述纳管软件的基本信息、所述依赖软件名称和所述依赖软件版本号生成依赖信息表，其中，所述依赖信息库包括多个所述依赖信息表。

在本发明实施例中，如图4所示，其为一张依赖信息表，表中所包含的内容有基本信息和依赖信息，例如，一个纳管软件包含有一个依赖软件，该依赖软件名称为FasterXML.jackson-databind，版本号为2.9.10.6，且依赖文件的类型为pom.xml，则根据上述信息，生成的依赖信息表包含有图4所示的内容，且该依赖软件的groupid为FasterXML，artifactid为jackson-databind，versionss为2.9.10.6，依赖信息表主要用于记录依赖软件的关键信息，以便于使所记录的依赖软件具有唯一性，通常情况下需要记录依赖软件名称和依赖软件版本号，而根据不同的依赖文件类型，依赖信息表所记录的要素存在一定差别，例如，pom.xml类型的依赖文件在依赖信息表中用于记录依赖软件名称的要素为groupid和artifactid。

在某些实施例，例如本实施例中，如图5所示，所述基于依赖关系的软件安全检查方法还可以包括步骤S160-S190。

S160，将所述漏洞信息存储至预设漏洞信息库。

在本发明实施例中，预设漏洞信息库用于存储已发现的所有漏洞信息，每当发现一个新的漏洞信息，则将该漏洞信息存储至预设漏洞信息库中，便于监管纳管软件。

S170，若检测到新的纳管软件，根据所述预设漏洞信息库判断所述新的纳管软件和所述新的纳管软件的依赖软件是否与所述预设漏洞信息库中的风险软件名称相匹配。

在本发明实施例中，当有新的纳管软件接入安全感知管理平台时，需要对该新的纳管软件进行一次全面的检测，判断该新的纳管软件是否存在漏洞尚未修复，而纳管软件一般包含有软件本身和其依赖软件，故需要将预设漏洞信息库中所记录的每一个漏洞信息均与该纳管软件以及其依赖软件进行比对。

S180，若所述新的纳管软件与所述风险软件名称相匹配或者所述新的纳管软件的依赖软件与所述风险软件名称相匹配，则生成所述新的纳管软件的漏洞报告。

在本发明实施例中，当新的纳管软件或者其依赖软件中的任一个软件与预设漏洞信息库中记录的任一个风险软件名称相匹配，则需要生成该新的纳管软件的漏洞报告，其中，漏洞报告记录有漏洞信息，存在该漏洞的依赖软件和纳管软件。

S190，若所述新的纳管软件和所述新的纳管软件的依赖软件与所述风险软件名称均不匹配，则将所述新的纳管软件标识为安全软件并加入所述纳管软件库中。

在本发明实施例中，当新的纳管软件与其依赖软件均不与预设漏洞信息库中记录的风险软件名称相匹配时，表明该软件未存在已发现的漏洞，可以将该新的纳管软件标识为安全软件并且加入纳管软件库中以持续进行监控以便于发现新的漏洞信息时，可以及时告警。

S120，判断纳管软件库中是否存在与所述风险软件名称相匹配的纳管软件。

在本发明实施例中，当确认了一个携带有漏洞的风险软件名称时，需要对纳管软件库中所有的纳管软件做一次筛查，判断是否有纳管软件与风险软件名称相匹配，其中，纳管软件库记录有所有的纳管软件。另外，对于一些相对独立的自研的纳管软件，一般是通过自查去判断是否存在漏洞，因此，不太可能在公共平台上获得相关的漏洞信息，对于这类型纳管软件，在获取到漏洞信息时，可以跳过这一步的判断，直接进入下一步。

在某些实施例，例如本实施例中，如图6所示，所述步骤S120可以包括步骤S120a-S120d。

S120a，若存在与所述风险软件名称相对应的纳管软件，将所述纳管软件标识为第二类软件，并根据所述预设依赖信息库判断所述第二类软件是否为所述依赖软件。

在本发明实施例中，当存在与风险软件名称相匹配的纳管软件时，将该纳管软件标识为第二类软件，并且需要在依赖信息库中进一步判断该第二类软件是否是其他纳管软件的依赖软件，其中，对于每一个纳管软件，均有可能是其它纳管软件的依赖软件。

S120b，若所述第二类软件不是所述依赖软件，根据所述第二类软件和所述漏洞信息生成所述第二类软件的漏洞报告。

在本发明实施例中，如果该第二类软件不是其他软件的依赖软件，则生成该第二类软件的漏洞报告。

S120c，若所述第二类软件是所述依赖软件，从所述纳管软件库中识别出依赖于所述第二类软件的纳管软件并标识为所述第一类软件。

在本发明实施例中，当第二类软件是其他纳管软件的依赖软件时，需要确认依赖该第二类软件的纳管软件，并将该纳管软件标识为第一类软件。例如，在预设依赖信息库中发现某一个纳管软件的依赖信息表中存在有与第二类软件相匹配的信息，则确认该依赖信息表所对应的纳管软件。

S120d，根据所述第一类软件和所述漏洞信息生成所述第一类软件的漏洞报告以及根据所述第二类软件和所述漏洞信息生成所述第二类软件的漏洞报告。

在本发明实施例中，在确认第一类软件和第二类软件后，分别生成第一类软件和第二类软件的漏洞报告，也可以生成一个记录有第一类软件、第二类软件以及漏洞信息的漏洞报告。

S130，若不存在与所述风险软件名称相匹配的所述纳管软件，获取预设依赖信息库，并判断所述依赖信息库中是否存在与所述风险软件名称相匹配的依赖软件。

在本发明实施例中，预设依赖信息库是根据安全感知平台所纳管的软件的基本信息和依赖信息所建立的，包括有多个依赖信息表，每个依赖信息表对应于一个纳管软件，且每个依赖信息表所记录的内容为该纳管软件所依赖的依赖软件的依赖信息，包括但不限于依赖软件名称，依赖软件版本号，根据纳管软件所采用的编程语言的不同，依赖信息表所记录的信息也不相同。如图2所示，若风险软件名称为FasterXMLjackson-databind<2.9.10.7，则可以在预设依赖信息库中的依赖信息表中寻找是否有相匹配的信息，其中，可以有多个依赖信息表均与风险软件名称相匹配，表明存在多个纳管软件依赖于同一个依赖软件，且在该依赖软件中发现有该漏洞。另外，步骤是S120用于判断纳管软件本身是否存在漏洞，而步骤S130用于判断纳管软件所依赖的依赖软件中是否存在漏洞，也即可以在更微观的层面上对纳管软件进行进一步的判断，从而可以避免遗漏漏洞。

在某些实施例，例如本实施例中，如图7所示，所述步骤S130可以包括步骤S131-S132。

S131，对所述风险软件名称进行处理以使其命名规则与所述依赖软件名称的命名规则相匹配。

在本发明实施例中，风险软件一般是包含有此次新发现的漏洞的软件，例如风险软件名称为FasterXML.jackson-databind<2.9.10.7，则表明名称为FasterXML.jackson-databind的软件，对于2.9.10.7版本以下的所有版本均存在此次发现的漏洞。而依赖信息表中一般记录的是依赖软件的要素，用于标识依赖软件，使得依赖软件在依赖信息库中具有唯一性，例如groupid、artifactid和versionss，故可以通过相关算法(现有算法)对风险软件名称进行处理，以便于风险软件名称的命名规则与依赖信息表中记录依赖软件名称的方式相匹配，例如，若依赖信息表中记录依赖软件的要素为groupid、artifactid和versionss，则将风险软件名称FasterXML.jackson-databind<2.9.10.7对应转换成groupid为FasterXML，artifactid为jackson-databind，versionss为2.9.10.7，转换完成后，在依赖信息表中寻找符合上述条件的依赖软件。另外，也可以通过关键字搜索法搜索整个依赖信息库，判断是否存在有依赖信息表中有满足该关键字的信息。

S132，判断所述依赖信息库中是否存在与处理后的所述风险软件名称相匹配的依赖软件。

在本发明实施例中，若依赖信息表中记录有一groupid为FasterXML，artifactid为jackson-databind，versionss为2.9.10.6的依赖软件，则表明该依赖依赖软件与处理后的风险软件名称相匹配，若该依赖软件的versionss为2.9.10.8，则表明该依赖软件与处理后的风险软件名称不匹配。

S140，若存在与所述风险软件名称相匹配的依赖软件，从所述纳管软件库中识别出依赖于所述依赖软件的纳管软件并标识为第一类软件。

在本发明实施例中，当在预设依赖信息库中发现存在依赖信息表中所记录的信息与风险软件名称相匹配，则可以进一步确认该依赖信息表所对应的纳管软件，并将该纳管软件标识为第一类软件，若存在多个依赖信息表所记录的信息均与该风险软件名称相匹配，则分别确认每个依赖信息表所对应的纳管软件，并且将上述纳管软件均标识为第一类软件。

S150，根据所识别出的第一类软件和所述漏洞信息生成所述第一类软件的漏洞报告。

在本发明实施例中，生成第一类软件的漏洞报告，漏洞报告包含有第一类软件的基本信息，例如联系人、联系人电话、软件名称和存在漏洞的依赖软件，若存在多个第一类软件，则在漏洞报告中分别记录每个第一类软件所对应的纳管软件的基本信息和依赖信息。

图8是本发明实施例提供的一种基于依赖关系的软件安全检查装置100的示意性框图。如图8所示，对应于以上基于依赖关系的软件安全检查方法，本发明还提供一种基于依赖关系的软件安全检查装置100。该基于依赖关系的软件安全检查装置100包括用于执行上述基于依赖关系的软件安全检查方法的单元。具体地，请参阅图8，该基于依赖关系的软件安全检查装置100包括漏洞信息解析单元110、第一判断单元120、第二判断单元130、第一类软件确认单元140和漏洞报告生成单元150。

其中，漏洞信息解析单元110用于获取漏洞信息，并解析所述漏洞信息以确认携带有漏洞的风险软件名称；第一判断单元120用于判断纳管软件库中是否存在与所述风险软件名称相匹配的纳管软件；第二判断单元130用于若不存在与所述风险软件名称相匹配的所述纳管软件，获取预设依赖信息库，并判断所述依赖信息库中是否存在与所述风险软件名称相匹配的依赖软件；第一类软件确认单元140用于若存在与所述风险软件名称相匹配的依赖软件，从所述纳管软件库中识别出依赖于所述依赖软件的纳管软件并标识为第一类软件；漏洞报告生成单元150用于根据所识别出的第一类软件和所述漏洞信息生成所述第一类软件的漏洞报告。

图9是本发明另一实施例提供的一种基于依赖关系的软件安全检查装置100的示意性框图。如图9所示，本实施例的基于依赖关系的软件安全检查装置100是上述实施例的基础上增加了第一解析单元110a和依赖信息表生成单元110b。

其中，第一解析单元单元110a用于获取所述纳管软件的依赖文件，并解析所述依赖文件以获得所述纳管软件的依赖信息，其中，所述依赖信息包括依赖软件名称和依赖软件版本号；依赖信息表生成单元110b用于根据所述纳管软件的基本信息、所述依赖软件名称和所述依赖软件版本号生成依赖信息表，其中，所述依赖信息库包括多个所述依赖信息表。

图10是本发明另一实施例提供的一种基于依赖关系的软件安全检查装置100的示意性框图。如图10所示，本实施例的基于依赖关系的软件安全检查装置100是上述实施例的基础上增加了漏洞信息存储单元160、第三判断单元170、第一漏洞报告生成子单元180和安全软件标识单元190。

其中，漏洞信息存储单元160用于将所述漏洞信息存储至预设漏洞信息库；第三判断单元170用于若检测到新的纳管软件，根据所述预设漏洞信息库判断所述新的纳管软件和所述新的纳管软件的依赖软件是否与所述预设漏洞信息库中的风险软件名称相匹配；第一漏洞报告生成子单元180用于若所述新的纳管软件与所述风险软件名称相匹配或者所述新的纳管软件的依赖软件与所述风险软件名称相匹配，则生成所述新的纳管软件的漏洞报告；安全软件标识单元190用于若所述新的纳管软件和所述新的纳管软件的依赖软件与所述风险软件名称均不匹配，则将所述新的纳管软件标识为安全软件并加入所述纳管软件库中。

图11是本发明另一实施例提供的一种基于依赖关系的软件安全检查装置100的示意性框图。如图11所示，本实施例的基于依赖关系的软件安全检查装置100是上述实施例的基础上增加了第四判断单元120a、第二漏洞报告生成子单元120b、第一类软件确认子单元120c和第三漏洞报告生成子单元120d。

其中，第四判断单元120a用于若存在与所述风险软件名称相对应的纳管软件，将所述纳管软件标识为第二类软件，并根据所述预设依赖信息库判断所述第二类软件是否为所述依赖软件；第二漏洞报告生成子单元120b用于若所述第二类软件不是所述依赖软件，根据所述第二类软件和所述漏洞信息生成所述第二类软件的漏洞报告；第一类软件确认子单元120c用于若所述第二类软件是所述依赖软件，从所述纳管软件库中识别出依赖于所述第二类软件的纳管软件并标识为所述第一类软件；第三漏洞报告生成子单元120d用于根据所述第一类软件和所述漏洞信息生成所述第一类软件的漏洞报告以及根据所述第二类软件和所述漏洞信息生成所述第二类软件的漏洞报告。

在某些实施例，例如本实施例中，参见图12，所述第二判断单元130包括风险软件名称处理单元131和第五判断单元132。

其中，风险软件名称处理单元131用于对所述风险软件名称进行处理以使其命名规则与所述依赖软件名称的命名规则相匹配；第五判断单元132用于判断所述依赖信息库中是否存在与处理后的所述风险软件名称相匹配的依赖软件。

需要说明的是，所属领域的技术人员可以清楚地了解到，上述基于依赖关系的软件安全检查装置和各单元的具体实现过程，可以参考前述方法实施例中的相应描述，为了描述的方便和简洁，在此不再赘述。

上述基于依赖关系的软件安全检查装置可以实现为一种计算机程序的形式，该计算机程序可以在如图13所示的计算机设备上运行。

请参阅图13，图13是本申请实施例提供的一种计算机设备的示意性框图。参阅图13，该计算机设备500包括通过系统总线501连接的处理器502、存储器和接口507，其中，存储器可以包括非易失性存储介质503和内存储器504。

该非易失性存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032被执行时，可使得处理器502执行一种基于依赖关系的软件安全检查方法。

该处理器502用于提供计算和控制能力，以支撑整个计算机设备500的运行。

该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境，该计算机程序5032被处理器502执行时，可使得处理器502执行一种基于依赖关系的软件安全检查方法。

该接口505用于与其它设备进行通信。本领域技术人员可以理解，图13中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备500的限定，具体的计算机设备500可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

其中，所述处理器502用于运行存储在存储器中的计算机程序5032，以实现如下步骤：

获取漏洞信息，并解析所述漏洞信息以确认携带有漏洞的风险软件名称；

判断纳管软件库中是否存在与所述风险软件名称相匹配的纳管软件；

若不存在与所述风险软件名称相匹配的所述纳管软件，获取预设依赖信息库，并判断所述依赖信息库中是否存在与所述风险软件名称相匹配的依赖软件；

若存在与所述风险软件名称相匹配的依赖软件，从所述纳管软件库中识别出依赖于所述依赖软件的纳管软件并标识为第一类软件；

根据所识别出的第一类软件和所述漏洞信息生成所述第一类软件的漏洞报告。

在一实施例中，处理器502在实现所述获取漏洞信息，并解析所述漏洞信息以确认携带有漏洞的风险软件名称的步骤之前，还包括如下步骤：

获取所述纳管软件的依赖文件，并解析所述依赖文件以获得所述纳管软件的依赖信息，其中，所述依赖信息包括依赖软件名称和依赖软件版本号；

根据所述纳管软件的基本信息、所述依赖软件名称和所述依赖软件版本号生成依赖信息表，其中，所述依赖信息库包括多个所述依赖信息表。

在一实施例中，所述处理器502还实现如下步骤：

将所述漏洞信息存储至预设漏洞信息库；

若检测到新的纳管软件，根据所述预设漏洞信息库判断所述新的纳管软件和所述新的纳管软件的依赖软件是否与所述预设漏洞信息库中的风险软件名称相匹配；

若所述新的纳管软件与所述风险软件名称相匹配或者所述新的纳管软件的依赖软件与所述风险软件名称相匹配，则生成所述新的纳管软件的漏洞报告。

在一实施例中，处理器502在实现所述判断纳管软件库中是否存在与所述风险软件名称相匹配的纳管软件的步骤之后，还包括如下步骤：

若存在与所述风险软件名称相对应的纳管软件，将所述纳管软件标识为第二类软件，并根据所述预设依赖信息库判断所述第二类软件是否为所述依赖软件；

若所述第二类软件不是所述依赖软件，根据所述第二类软件和所述漏洞信息生成所述第二类软件的漏洞报告。

在一实施例中，处理器502在实现所述若存在与所述风险软件名称相对应的纳管软件，将所述纳管软件标识为第二类软件，并根据所述预设依赖信息库判断所述第二类软件是否为所述依赖软件的步骤之后，还包括如下步骤：

若所述第二类软件是所述依赖软件，从所述纳管软件库中识别出依赖于所述第二类软件的纳管软件并标识为所述第一类软件；

根据所述第一类软件和所述漏洞信息生成所述第一类软件的漏洞报告以及根据所述第二类软件和所述漏洞信息生成所述第二类软件的漏洞报告。

在一实施例中，处理器502在实现所述判断所述依赖信息库中是否存在与所述风险软件名称相匹配的依赖软件的步骤时，具体实现如下步骤：

对所述风险软件名称进行处理以使其命名规则与所述依赖软件名称的命名规则相匹配；

判断所述依赖信息库中是否存在与处理后的所述风险软件名称相匹配的依赖软件。

应当理解，在本申请实施例中，处理器502可以是中央处理单元(CentralProcessingUnit，CPU)，该处理器502还可以是其他通用处理器、数字信号处理器(FigitalSignal Processor，FSP)、专用集成电路(Application Specific IntegrateF Circuit，ASIC)、现成可编程门阵列(FielF-Programmable GateArray，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中，通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成。该计算机程序可存储于一存储介质中，该存储介质为计算机可读存储介质。该计算机程序被该计算机系统中的至少一个处理器执行，以实现上述方法的实施例的流程步骤。

因此，本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序。该计算机程序当被处理器执行时实现上述基于域分离的语音转换模型的训练方法的任一实施例。

所述存储介质可以是U盘、移动硬盘、只读存储器(ReaF-OnlyMemory，ROM)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的。例如，各个单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。

本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。

该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备执行本发明各个实施例所述方法的全部或部分步骤。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详细描述的部分，可以参见其他实施例的相关描述。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，尚且本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。