一种jar包安全确定方法、系统、设备及计算机介质转让专利
申请号 : CN201810669812.3
文献号 : CN110647751B
文献日 : 2021-07-09
发明人 : 吕涛 , 张银全 , 刘发鹏
申请人 : 马上消费金融股份有限公司
摘要 :
权利要求 :
1.一种jar包安全确定方法,其特征在于,包括:获取预先设定的安全jar包集,所述安全jar包集指的是预先由信息安全工程师或检测软件认可的安全jar包组成的集合;
获取目标软件所应用的待判定jar包集;
对于所述待判定jar包集内的每一个待判定jar包,判断所述待判定jar包是否与所述安全jar包集内的jar包一致,若是,则判定所述待判定jar包为安全jar包,若否,则判定所述待判定jar包为不安全jar包,所述待判定jar包为开源的jar包;
其中,所述判断所述待判定jar包是否与所述安全jar包集内的jar包一致,包括:依次将所述待判定jar包与所述安全jar包集内的每一个jar包进行参数对比;若所述待判定jar包与所述安全jar包集内的任一个jar包的每个参数均一致,则判定所述待判定jar包为安全jar包;若所述待判定jar包与所述安全jar包集内的每一个jar包的每个参数不是均一致,则判定所述待判定jar包为不安全jar包;
所述判定所述待判定jar包为不安全jar包之后,还包括:判断是否接收到表示所述待判定jar包为安全jar包的信息,若是,则将所述待判定jar包添加至所述安全jar包集内。
2.根据权利要求1所述的方法,其特征在于,所述判定所述待判定jar包为不安全jar包之后,还包括:
记录判定出的所述目标软件的所述安全jar包与所述不安全jar包。
3.根据权利要求2所述的方法,其特征在于,所述记录判定出的所述目标软件的所述安全jar包与所述不安全jar包,包括:采用数据库记录判定出的所述目标软件的所述安全jar包与所述不安全jar包。
4.根据权利要求3所述的方法,其特征在于,所述采用数据库记录判定出的所述目标软件的所述安全jar包与所述不安全jar包,包括:采用mysql数据库记录判定出的所述目标软件的所述安全jar包与所述不安全jar包。
5.根据权利要求2所述的方法,其特征在于,所述记录判定出的所述目标软件的所述安全jar包与所述不安全jar包,包括:采用日志记录判定出的所述目标软件的所述安全jar包与所述不安全jar包。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述获取预先设定的安全jar包集,包括:
获取预先设定的包含所有软件对应的安全jar包的安全jar包集。
7.根据权利要求1至5任一项所述的方法,其特征在于,所述获取预先设定的安全jar包集,包括:
获取预先设定的只包含所述目标软件对应的所有安全jar包的安全jar包集。
8.根据权利要求7所述的方法,其特征在于,所述获取预先设定的只包含所述目标软件对应的所有安全jar包的安全jar包集,包括:获取目标软件的标识信息;
根据预先创建的软件的所述标识信息及安全jar包集间的对应关系,获取目标软件的所述标识信息对应的安全jar包集;
其中,任一软件的所述标识信息对应的所述安全jar包集只包含所述软件对应的安全jar包。
9.一种jar包安全确定系统,其特征在于,包括:第一获取模块,用于获取预先设定的安全jar包集,所述安全jar包集指的是预先由信息安全工程师或检测软件认可的安全jar包组成的集合;
第二获取模块,用于获取目标软件所应用的待判定jar包集;
第一判断模块,用于对于所述待判定jar包集内的每一个待判定jar包,判断所述待判定jar包是否与所述安全jar包集内的jar包一致,若是,则判定所述待判定jar包为安全jar包,若否,则判定所述待判定jar包为不安全jar包,所述待判定jar包为开源的jar包;
其中,所述第一判断模块具体用于:依次将所述待判定jar包与所述安全jar包集内的每一个jar包进行参数对比;若所述待判定jar包与所述安全jar包集内的任一个jar包的每个参数均一致,则判定所述待判定jar包为安全jar包;若所述待判定jar包与所述安全jar包集内的每一个jar包的每个参数不是均一致,则判定所述待判定jar包为不安全jar包;
还包括:第二判断模块,用于在所述第一判断模块判定所述待判定jar包为不安全jar包之后,判断是否接收到表示所述待判定jar包为安全jar包的信息,若是,则将所述待判定jar包添加至所述安全jar包集内。
10.一种jar包安全确定设备,其特征在于,包括:存储器,用于存储jar包安全确定指令;
处理器,用于执行所述jar包安全确定指令后实现如权利要求1至8任一项所述的jar包安全确定方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有jar包安全确定指令,所述jar包安全确定指令被处理器执行时实现如权利要求1至8任一项所述的jar包安全确定方法的步骤。
说明书 :
一种jar包安全确定方法、系统、设备及计算机介质
技术领域
背景技术
成一个压缩文件。开源的jar包总是有各种漏洞,如果使用了有漏洞的jar包可能会给不法
分子可乘之机,这就需要判断jar包的安全性。
jar包安全判断方法的判断准确率较低。
发明内容
断系统、设备及计算机可读存储介质。
定所述待判定jar包为不安全jar包。
包,若否,则判定所述待判定jar包为不安全jar包。
骤。
jar包是否与安全jar包集内的jar包一致,若是,则判定待判定jar包为安全jar包,若否,则
判定待判定jar包为不安全jar包。本申请提供的一种jar包安全确定方法实现了对目标软
件所应用的待判定jar包的安全性的确定,也即实现了自动对jar包安全性的确定,与现有
技术中信息安全工程师人工判断每个应用所使用的jar包是否安全相比,存在误判或漏判
的情况少,在一定程度上提高了判断准确率。本申请提供的一种jar包安全确定系统、设备
及计算机可读存储介质也解决了相应技术问题。
附图说明
申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据
提供的附图获得其他的附图。
具体实施方式
本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例,都属于本申请保护的范围。
jar包安全判断方法需要信息安全工程师人工去判断每个应用所使用的jar包是否安全,存
在信息安全工程师误判或漏判的情况,从而使得现有的一种jar包安全判断方法的判断准
确率较低。本申请提供的一种jar包安全确定方法借助jarman系统实现了自动对jar包的安
全性判断,判断准确性高。
的包含所有软件对应的安全jar包的安全jar包集。当然,为了提高对单个软件的判断效率,
jarman系统获取安全jar包集的方式可以是:获取预先设定的只包含目标软件对应的所有
安全jar包的安全jar包集。在jarman系统获取只包含目标软件对应的所有安全jar包的安
全jar包集的情况下,可以预先设定每个软件的标识信息及该软件可能应用到的所有安全
jar包,然后根据目标软件的标识信息确定该目标软件对应的安全jar包集,具体过程可以
为:获取目标软件的标识信息;根据预先创建的软件的标识信息及安全jar包集间的对应关
系,获取目标软件的标识信息对应的安全jar包集;其中,任一软件的标识信息对应的安全
jar包集只包含软件对应的安全jar包。具体应用场景中,jarman系统获取安全jar包集的过
程可以是:使用mvn dependency:list列出所有的安全jar包,然后将所有的安全jar包全选
复制后黏贴在jarman系统中。
maven插件获取的目标软件所应用的待判定jar包集,这里所说的maven是一个项目管理工
具,其包含了一个项目对象模型(Project Object Model),一组标准集合,一个项目生命周
期(Project Lifecycle),一个依赖管理系统(Dependency Management System)和用来运
行定义在生命周期阶段(phase)中插件(plugin)目标(goal)的逻辑;使用maven获取待判定
jar包集的过程为:创建一个Java类,用@Mojo注解,获取目标软件所应用的待判定jar包集,
然后调用jarman系统的对比接口,传输获取到的目标软件所应用的待判定jar包集至
jarman系统,开发完成后使用mvn install将maven插件打包到本地仓库,即可使用。jarman
系统也可以直接接收gradle插件获取的目标软件所应用的待判定jar包集,这里所说的
gradle是一个基于Apache Ant和Apache Maven概念的项目自动化构建工具,其使用一种基
于Groovy的特定领域语言(DSL)来声明项目设置;使用gradle插件获取待判定jar包集的过
程为:gradle插件获取目标软件所应用的待判定jar包,调用jarman系统的对比接口,传输
获取到的目标软件所应用的待判定jar包集至jarman系统;具体应用场景中,可以采用
groovy语言开发gradle插件,然后将开发代码放在gradle的init.gradle定义全局配置。
则执行步骤S105:判定待判定jar包为不安全jar包。
这里所说的判断待判定jar包是否与安全jar包集内的jar包一致,具体可以为:依次将待判
定jar包与安全jar包集内的每一个jar包进行参数对比,若待判定jar包与安全jar包集内
的任一个jar包的每个参数均一致,则判定待判定jar包为安全jar包,若待判定jar包与安
全jar包集内的每一个jar包的每个参数不是均不一致,则判定待判定jar包为不安全jar
包;以待判定jar包的参数仅仅包含A、B、C为例,若安全jar包集内的某一jar包也仅仅包含
参数A、B、C,则待判定jar包与安全jar包集内的jar包一致,若安全jar包集内的每一个jar
包均不是仅仅包含参数A、B、C,比如包含参数A、D等,则待判定jar包与安全jar包集内的jar
包不一致。这里所说的jar包的参数可以根据实际情况确定,如与http相关的commons‑
beanutils‑1.8.0.jar参数及commons‑cli‑1.2.jar参数等。在jarman系统中,jarman系统
可以借助自身的对比接口将待判定jar包集全部读入list中,将待判定jar包集与安全jar
包集内的每个参数挨个进行对比,最后调用contains()方法查看包含情况。
jar包,判断待判定jar包是否与安全jar包集内的jar包一致,若是,则判定待判定jar包为
安全jar包,若否,则判定待判定jar包为不安全jar包。本申请提供的一种jar包安全确定方
法借助jarman系统实现了对目标软件所应用的待判定jar包的安全性的确定,也即借助
jarman系统实现了自动对jar包安全性的确定,与现有技术中信息安全工程师人工判断每
个应用所使用的jar包是否安全相比,存在误判或漏判的情况少,在一定程度上提高了判断
准确率。
全jar包对目标软件进行调控,本申请实施例提供的一种jar包安全确定方法,具体可以包
括:
则执行步骤S205:判定待判定jar包为不安全jar包。
标软件的性能进行分析、调控等;当然,还可以是将安全jar包及不安全jar选择性或全部呈
现在显示界面上等,本申请在此不做具体限定。
则执行步骤S305:判定待判定jar包为不安全jar包。
其具有体积小、速度快、总体拥有成本低、源码开放的优点。具体应用场景中,可以采用其他
数据库记录目标软件的安全jar包与不安全jar,还可以采用日志形式记录目标软件的安全
jar包与不安全jar包。
性,本申请实施例提供的一种jar包安全确定方法,具体可以包括:
则执行步骤S405:判定待判定jar包为不安全jar包,并执行步骤S406。
包集起到了一个更新作用,使得下次应用该安全jar包集时可以准确判断出该待判定jar包
为安全jar包,可以在一定程度上保证安全jar包集的准确性。
系统的结构示意图。
判定待判定jar包为不安全jar包。
包集内。
提供的一种jar包安全确定设备的结构示意图。
令后实现如下步骤:
安全jar包。
判定jar包为不安全jar包之后,记录判定出的目标软件的安全jar包与不安全jar包。
据库记录判定出的目标软件的安全jar包与不安全jar包。
mysql数据库记录判定出的目标软件的安全jar包与不安全jar包。
志记录判定出的目标软件的安全jar包与不安全jar包。
判定jar包为不安全jar包之后,判断是否接收到表示待判定jar包为安全jar包的信息,若
是,则将待判定jar包添加至安全jar包集内。
先设定的包含所有软件对应的安全jar包的安全jar包集。
先设定的只包含目标软件对应的所有安全jar包的安全jar包集。
标软件的标识信息;根据预先创建的软件的标识信息及安全jar包集间的对应关系,获取目
标软件的标识信息对应的安全jar包集;其中,任一软件的标识信息对应的安全jar包集只
包含软件对应的安全jar包。
显示单元204,用于显示处理器202的处理结果至外界;与处理器202连接的通信模块205,用
于实现jar包安全确定设备与外界的通信。显示单元202可以为显示面板、激光扫描使显示
器等;通信模块205所采用的通信方式包括但不局限于移动高清链接技术(HML)、通用串行
总线(USB)、高清多媒体接口(HDMI)、无线连接:无线保真技术(WiFi)、蓝牙通信技术、低功
耗蓝牙通信技术、基于IEEE802.11s的通信技术。
安全jar包。
为不安全jar包之后,记录判定出的目标软件的安全jar包与不安全jar包。
判定出的目标软件的安全jar包与不安全jar包。
记录判定出的目标软件的安全jar包与不安全jar包。
定出的目标软件的安全jar包与不安全jar包。
为不安全jar包之后,判断是否接收到表示待判定jar包为安全jar包的信息,若是,则将待
判定jar包添加至安全jar包集内。
包含所有软件对应的安全jar包的安全jar包集。
只包含目标软件对应的所有安全jar包的安全jar包集。
标识信息;根据预先创建的软件的标识信息及安全jar包集间的对应关系,获取目标软件的
标识信息对应的安全jar包集;其中,任一软件的标识信息对应的安全jar包集只包含软件
对应的安全jar包。
知的任意其它形式的存储介质。
明,在此不再赘述。另外,本申请实施例提供的上述技术方案中与现有技术中对应技术方案
实现原理一致的部分并未详细说明,以免过多赘述。
存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵
盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要
素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备
所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在
包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限
制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的
范围。