一种基于场景化多因子的第三方组件漏洞排名方法

技术领域

本发明涉及第三方组件漏洞领域，更具体地说，涉及一种基于场景化多因子的第三方组件漏洞排名方法。

背景技术

随着软件开发的复杂化，第三方组件在软件开发中使用的比例越来越多。与此同时，第三方组件的漏洞的数量也越来越多。这些漏洞可以被黑客利用，对用户的信息系统造成损害。对于第三方组件的使用者，漏洞的排名方法可以帮助用户快速识别出最严重的漏洞，从而采取相应的措施进行防范。目前，常用的软件漏洞排名方法有以下几种：

CVSS评分：CVSS（Common Vulnerability Scoring System）是一个通用漏洞评分系统，它根据漏洞的严重程度、影响范围等因素给出一个评分。CVSS评分越高，漏洞的严重程度越大。

漏洞影响范围：漏洞的影响范围可以反映漏洞对用户造成损害的程度。漏洞影响范围越大，漏洞的严重程度越大。

漏洞利用难度：漏洞的利用难度可以反映漏洞被黑客利用的可能性。漏洞利用难度越低，漏洞被黑客利用的可能性越大。

然而上述方法都是通用的方法，没有考虑到第三方组件的实际使用情况（是否是在隔离环境中）、漏洞是否能被触发、使用开源组件的软件的重要程度等。

发明内容

本发明要解决的技术问题是提供一种基于场景化多因子的第三方组件漏洞排名方法，以解决背景技术中提到的问题。

为了达到上述目的，本发明采取以下技术方案：

一种基于场景化多因子的第三方组件漏洞排名方法，包括搜集软件开发过程中多个不同场景下的多个第三方组件漏洞，并按照如下步骤对多个不同场景下的多个第三方组件漏洞组件进行依次排序：

首先判断每个漏洞在部署环境中是否能被触发，所有判断为是的漏洞划分至第一族群，判断为不确定的漏洞划分至第二族群，判断为否的漏洞划分至第三族群；

在每个族群内，按照漏洞软件所处环境是否被隔离或是否采用手段屏蔽划分为三个子群，其中第一子群对应于未被隔离且未采用手段屏蔽，第二子群对应不确定，第三子群对应被隔离或采用手段屏蔽；

在每个子群内，按照下面几个方面分别计算每个第三方组件漏洞的评分：

（a）CVSS评分；

（b）漏洞利用难度，难度越低评分越高；

（c）漏洞组件在实际软件中的可达性，可达性越高评分越高；

（d）漏洞所在软件的等保定级，定级越高，评分越高；

（e）漏洞所在软件所使用的数据的数据安全定级，定级越高，评分越高；

对每个方面的评分加权得到综合评分；

将第一族群、第二族群、第三族群依次前后排列，在每个族群内，按照第一子群、第二子群、第三子群依次前后排列，在每个子群内，根据所述综合评分高低将第三方组件漏洞依次排列，其中所述综合评分高的排在前列。

在一些实施例中，使用CVSS计算工具计算CVSS评分。

在一些实施例中，所述CVSS计算工具为NVD提供的在线工具。

在一些实施例中，基于实验室测试结果和公开信息判定第三方组件漏洞的利用难度。

在一些实施例中，所述漏洞组件在实际软件中的可达性可通过代码审查获取。

在一些实施例中，所述代码审查过程包括检查漏洞组件在实际软件中是否被频繁调用、是否在关键路径上。

在一些实施例中，每个方面的评分设置为0～10。

在一些实施例中，所述加权计算综合得分的权重设置为：

CVSS评分：0.4；

漏洞利用难度：0.2；

可达性：0.15；

等保定级：0.15；

数据安全定级：0.1。

在一些实施例中，通过网络和安全设备配置审查确定漏洞软件所处环境的隔离状态或是否采用手段进行屏蔽。

在一些实施例中，通过业务审查和数据审查确定漏洞所在软件的等保定级及该软件所使用的数据的数据安全定级。

本发明相对于现有技术的优点在于，结合了具体的部署场景来评估第三方组件的漏洞，从而更精确地确定每个漏洞的实际威胁程度。通过多因子评分和加权排名，它确保了在特定应用环境中真正关键的安全问题得到优先处理，而不仅仅是基于漏洞的抽象评分。这种场景化的方法为组织提供了一个更有针对性、实用和灵活的漏洞管理策略。

附图说明

图1是本发明方法的步骤示意图。

具体实施方式

下面结合附图对本发明的具体实施方式作描述。

如图1所示，本发明一种基于场景化多因子的第三方组件漏洞排名方法，包括搜集软件开发过程中多个不同场景下的多个第三方组件漏洞，并按照如下步骤对多个不同场景下的多个第三方组件漏洞组件进行依次排序：

首先判断每个漏洞在部署环境中是否能被触发，所有判断为是的漏洞划分至第一族群，判断为不确定的漏洞划分至第二族群，判断为否的漏洞划分至第三族群；

在每个族群内，按照漏洞软件所处环境是否被隔离或是否采用手段屏蔽划分为三个子群，其中第一子群对应于未被隔离且未采用手段屏蔽，第二子群对应不确定，第三子群对应被隔离或采用手段屏蔽；

在每个子群内，按照下面几个方面分别计算每个第三方组件漏洞的评分：

（a）CVSS评分；

（b）漏洞利用难度，难度越低评分越高；

（c）漏洞组件在实际软件中的可达性，可达性越高评分越高；

（d）漏洞所在软件的等保定级，定级越高，评分越高；

（e）漏洞所在软件所使用的数据的数据安全定级，定级越高，评分越高；

对每个方面的评分加权得到综合评分；

将第一族群、第二族群、第三族群依次前后排列，在每个族群内，按照第一子群、第二子群、第三子群依次前后排列，在每个子群内，根据所述综合评分高低将第三方组件漏洞依次排列，其中所述综合评分高的排在前列。

对于以上每个考察的方面：

CVSS评分:

CVSS（Common Vulnerability Scoring System）是一个公认的漏洞评分系统，用于描述和量化漏洞的严重性。它的评分范围从0到10，其中10表示最高的风险。这个评分考虑了多个因素，如漏洞的攻击向量、攻击复杂性、需要的权限等级、用户交互需求、影响的范围等。

可使用CVSS计算工具，如NVD (National Vulnerability Database) 提供的在线工具，根据漏洞的特性填写CVSS指标（如访问向量、访问复杂性、身份验证等），得到最终的评分。

漏洞利用难度:

表示利用这个漏洞需要的技术难度。一些漏洞可能非常简单并且已经有了公开的利用代码（例如，零日攻击），而其他漏洞可能需要高度的专门知识来利用。

可以在实验室环境测试，比如尝试在受控环境中复现和利用这个漏洞，还可检查是否有公开的Exploit代码或工具；基于实验室测试结果和公开信息判定漏洞的利用难度。

漏洞组件在实际软件中的可达性:

这个因子描述了在实际应用中能否访问或触发这个漏洞。如果一个漏洞位于软件的一个很少使用或完全不被使用的部分，那么它的风险可能会降低。相反，如果它位于软件的核心部分，那么其风险会更高。

其评分可以通过代码审查获取，比如检查该组件在实际软件中的使用情况，如是否被频繁调用、是否在关键路径上。也可通过动态分析获取，比如观察在运行软件时该组件的行为，检查是否容易受到外部输入的影响。

漏洞在部署环境中是否能被触发:

这个因子考虑了实际部署环境中的配置，以确定是否有可能触发这个漏洞。

例如，某些功能可能已被禁用或受到其他安全控制的限制，从而使得漏洞不会在实际环境中被触发。可以通过环境审查，比如确定软件的运行环境配置（如操作系统版本、网络配置等），来判断漏洞在部署环境中是否能被触发。还可以在实际环境中尝试触发该漏洞，以确认是否可能被触发。

漏洞软件所处环境是否被隔离、是否采用其它手段屏蔽 :

这衡量的是软件部署的环境对漏洞的影响。如果一个应用被部署在隔离的环境中，或者有防火墙、Web应用程序防火墙（WAF）或其他安全机制来保护，那么即使存在漏洞，其风险也可能被降低。可以通过网络审查获取情况，比如检查网络架构、防火墙规则、隔离机制等，来做出是否被隔离的判断。还可以审查安全设备配置，如WAF规则、IPS/IDS策略等，确定是否有针对该漏洞的防护措施。

漏洞所在软件的等保定级以及该软件所使用的数据的数据安全定级:

这涉及评估涉及漏洞的软件和数据的关键性或敏感性。如果一个应用是关键应用（如金融系统）或用来处理敏感数据（如个人身份信息、健康记录等），那么任何与之相关的漏洞都可能被视为高风险。等保定级可以通过业务审查获取情况，比如确定受影响应用的业务重要性，业务重要性根据是否处理敏感数据、是否是关键业务应用等来判断。数据安全定级可通过数据审查获取评分，比如评估数据的敏感性和重要性，其中较为敏感和重要的数据包括PII、财务数据、个人健康信息等。

综上，可以：

使用CVSS计算工具确定漏洞的CVSS评分；

通过实验室环境测试和公开信息评估确定漏洞利用难度；

通过代码审查和动态分析确定漏洞组件在实际软件中的可达性；

通过环境审查和实际测试确定漏洞在部署环境中的触发情况；

通过网络和安全设备配置审查确定漏洞软件所处环境的隔离状态，以及是否采用其它手段进行屏蔽；

通过业务审查和数据审查确定漏洞所在软件的等保定级及该软件所使用的数据的数据安全定级。

以上的各个方面，有的作为族群分类依据，有的作为子群分类依据，有的作为综合评分的计算因子进行子群内的分类。综合评分的计算中，可以把每个方面的评分设置在0～10然后具体设置加权比重进行加权求和。

为了方便理解，以下实施例考虑一个非常具体的例子作为其排序过程的解释：

假设有一个在线电子商务平台，该平台使用了多个第三方组件来提供用户登录、支付、搜索、评论等功能。这些第三方组件包括：用户身份验证组件、支付网关、商品搜索引擎、用户评论系统、物流追踪、数据统计工具、广告推送、推荐系统、在线聊天支持和图片处理工具。

假设有如下十个第三方组件漏洞：

1、用户身份验证组件：密码重置功能中存在漏洞，允许未经认证的攻击者重置任何用户的密码。

2、支付网关：存在一个未加密的后门，可能被攻击者利用。

3、商品搜索引擎：存在XSS攻击的漏洞。

4、用户评论系统：一个SQL注入漏洞。

5、物流追踪：未经认证的用户可以查看任何订单的物流详情。

6、数据统计工具：API接口中存在信息泄露漏洞。

7、广告推送：存在点击劫持漏洞。

8、推荐系统：存在远程命令执行漏洞。

9、在线聊天支持：由于缺乏适当的认证，攻击者可以伪装成客服。

10、图片处理工具：存在一个允许攻击者上传恶意代码的漏洞。

接下来，考虑本发明技术方案：

首先，需要要判断每个漏洞在部署环境中是否能被触发。

可以被触发的漏洞标号：1, 2, 3, 4, 5, 8, 10；

不确定的漏洞标号：6, 7；

不能被触发的漏洞标号：9；

接下来，在每个族群内按照软件所处环境进行分类。

第一族群：

未被隔离且未采用手段屏蔽的漏洞标号：1, 4, 8；

不确定的漏洞标号：3, 5；

已被隔离或采用手段屏蔽的漏洞标号：2, 10；

第二族群：

未被隔离且未采用手段屏蔽的漏洞标号：6；

不确定的漏洞标号：7；

已被隔离或采用手段屏蔽的漏洞标号：无；

第三族群：

未被隔离且未采用手段屏蔽的漏洞标号：无；

不确定的漏洞标号：无；

已被隔离或采用手段屏蔽的漏洞标号：9；

接着，对于每个子群，根据给定的方面计算每个第三方组件漏洞的评分。为简化说明，此处只考虑用户身份验证组件：

CVSS评分：9；

漏洞利用难度：3；

可达性：10；

等保定级：8；

数据安全定级：9；

用户评论系统：

CVSS评分：8；

漏洞利用难度：4；

可达性：7；

等保定级：7；

数据安全定级：7；

假设本实施例中选择以下权重：

CVSS评分：0.4；

漏洞利用难度：0.2；

可达性：0.15；

等保定级：0.15；

数据安全定级：0.1。

具体的权重在真实情境中应由安全专家根据组织的安全策略和目标进行具体选择。

计算综合评分的过程：

综合评分=(各方面评分×各方面权重之和)；

对于用户身份验证组件的评分计算如下：

=(9×0.4)+(3×0.2)+(10×0.15)+(8×0.15)+(9×0.1)=3.6+0.6+1.5+1.2+0.9=7.8。

按照同样的方法，可以计算同一子群内其他两个漏洞的综合评分，假如计算出：

用户评论系统=7.3；

推荐系统=7.7；

根据综合评分进行排序：

用户身份验证组件:7.8；

推荐系统:7.7；

用户评论系统:7.3；

现在，为其他族群和子群中的漏洞也进行这样的计算，并得到综合评分。

假设计算后得到以下综合评分：

商品搜索引擎：7.1；

物流追踪：7.0；

支付网关：6.9；

图片处理工具：6.8；

数据统计工具：6.7；

广告推送：6.5；

在线聊天支持：6.0。

所以，最终将第一族群、第二族群、第三族群依次前后排列，在每个族群内，按照第一子群、第二子群、第三子群依次前后排列，在每个子群内，根据所述综合评分高低将第三方组件漏洞依次排列，其中所述综合评分高的排在前列，得到的排序是：用户身份验证组件、推荐系统、用户评论系统、商品搜索引擎、物流追踪、支付网关、图片处理工具、数据统计工具、广告推送、在线聊天支持。

这样，安全团队可以按照这个顺序来修复这些漏洞，确保平台的安全性。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。