一种用于软件构建的第三方组件的安全管控方法及装置与流程

1.本发明涉及应用软件开发技术领域，尤其涉及一种用于软件构建的第三方组件的安全管控方法及装置。


背景技术：

2.伴随着信息化技术在各行各业的广泛应用，软件研发需求呈爆发式增长。为了提升软件研发效率、降低软件研发成本和压缩软件交付周期，软件研发企业大量使用第三方组件，特别是开源组件。根据权威机构分析统计，现代应用软件成分中超过60%都是由第三方组件构成，剩下的40%由业务代码、配置文件、构建脚本和静态资源等数据构成。因此在软件研发过程中，第三方组件的使用越来越广泛，其地位也越来越重要。为了规范软件研发代码集成，软件研发企业通常会在企业内网环境搭建devops平台（研发工具链系统），通过自动化流程使得整个软件研发过程更加快捷和可靠。其中，软件研发过程中使用到的第三方组件，通常会存储在本地的私服仓库中。如果项目使用了本地私服仓库中原先没有的第三方组件，那么本地私服仓库就会从互联网中央仓库下载这些第三方组件，并直接放到本地私服仓库中供项目使用。
3.软件研发企业在享用第三方组件带来好处的同时，不可避免地引入了第三方组件包含的安全风险，包括安全漏洞风险、知识产权风险和供应链风险。安全漏洞风险是指第三方组件在具体实现或系统安全策略上存在的缺陷，可以使攻击者能够在未授权的情况下访问或破坏系统，知识产权风险是指违反第三方组件许可协议的许可约束下发布软件产品，供应链风险是指使用受到恶意代码污染的第三方组件而导致系统存在可被攻击的漏洞或后门。当前，软件研发企业搭建的devops平台通常与互联网环境直接对接，引入的第三方组件没有经过必要的安全评估。一方面，可能使用具有已知安全风险的第三方组件，会导致软件系统引入不必要的安全风险；另一方面，不具备第三方组件的风险持续评估能力，无法有效识别第三方组件的新增安全风险对存量软件系统的影响。此外，对于具有一定安全意识的软件研发企业，当行业内披露出针对某款用于软件构建的第三方组件的安全漏洞后，通常会针对该第三方组件进行人工排查，分析本单位软件是否使用了该组件，如果使用了，使用的组件版本是否在受影响的版本范围内，如果在受影响的版本范围内，则进行安全修复和加固。这里，由于缺乏完整的软件各版本的成分数据积累，人工排查的效率和准确率都不尽人意。


技术实现要素：

4.基于此，有必要针对上述问题，提出一种用于软件构建的第三方组件的安全管控方法及装置，以解决现有技术的以下问题：软件研发企业在享用第三方组件带来好处的同时，不可避免地引入了第三方组件包含的安全风险，包括安全漏洞风险、知识产权风险和供应链风险，使用具有已知安全风险的第三方组件，会导致软件系统引入不必要的安全风险。
5.本发明实施例的第一技术方案为：
一种用于软件构建的第三方组件的安全管控方法，其包括：判断待构建的目标软件是否需要使用目标第三方组件进行构建；若所述目标软件需要使用目标第三方组件进行构建，则判断所述目标软件需要使用的所述目标第三方组件是否为安全组件；若所述目标第三方组件不是安全组件，则拒绝使用所述目标第三方组件构建所述目标软件，并对所述目标第三方组件进行风险标记；若所述目标第三方组件是安全组件，则使用所述目标第三方组件对所述目标软件进行构建；获取使用所述目标第三方组件对所述目标软件进行构建后得到的目标软件构建结果，并根据所述目标软件构建结果判断所述目标软件是否构建成功；若所述目标软件构建成功，则将所述目标软件构建结果所包含的测绘数据存储到目标软件测绘数据库，否则将所述目标软件构建结果所包含的测绘数据进行删除处理。
6.本发明实施例的第二技术方案为：一种用于软件构建的第三方组件的安全管控装置，其包括：第一判断模块，用于判断待构建的目标软件是否需要使用目标第三方组件进行构建；第二判断模块，用于当所述目标软件需要使用所述目标第三方组件进行构建时，判断所述目标软件需要使用的所述目标第三方组件是否为安全组件；风险标记模块，用于当所述目标第三方组件不是安全组件时，拒绝使用所述目标第三方组件构建所述目标软件，并对所述目标第三方组件进行风险标记；软件构建模块，用于当所述目标第三方组件是安全组件时，使用所述目标第三方组件对所述目标软件进行构建；第三判断模块，用于获取使用所述目标第三方组件对所述目标软件进行构建后得到的目标软件构建结果，并根据所述目标软件构建结果判断所述目标软件是否构建成功；结果处理模块，用于当所述目标软件构建成功时，则将所述目标软件构建结果所包含的测绘数据存储到目标软件测绘数据库，否则将所述目标软件构建结果所包含的测绘数据进行删除处理。
7.本发明实施例的第三技术方案为：一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行以下步骤：判断待构建的目标软件是否需要使用目标第三方组件进行构建；若所述目标软件需要使用目标第三方组件进行构建，则判断所述目标软件需要使用的所述目标第三方组件是否为安全组件；若所述目标第三方组件不是安全组件，则拒绝使用所述目标第三方组件构建所述目标软件，并对所述目标第三方组件进行风险标记；若所述目标第三方组件是安全组件，则使用所述目标第三方组件对所述目标软件进行构建；获取使用所述目标第三方组件对所述目标软件进行构建后得到的目标软件构建结果，并根据所述目标软件构建结果判断所述目标软件是否构建成功；若所述目标软件构建成功，则将所述目标软件构建结果所包含的测绘数据存储到目标软件测绘数据库，否则将所述目标软件构建结果所包含的测绘数据进行删除处理。
8.本发明实施例的第四技术方案为：一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行以下步骤：判断待构建的目标软件是否需要使用目标第三方组件进行构建；若所述目标软件需要使用目标第三方组件进行构建，则判断所述目标软件需要使用的所述目标第三方组件
是否为安全组件；若所述目标第三方组件不是安全组件，则拒绝使用所述目标第三方组件构建所述目标软件，并对所述目标第三方组件进行风险标记；若所述目标第三方组件是安全组件，则使用所述目标第三方组件对所述目标软件进行构建；获取使用所述目标第三方组件对所述目标软件进行构建后得到的目标软件构建结果，并根据所述目标软件构建结果判断所述目标软件是否构建成功；若所述目标软件构建成功，则将所述目标软件构建结果所包含的测绘数据存储到目标软件测绘数据库，否则将所述目标软件构建结果所包含的测绘数据进行删除处理。
9.采用本发明实施例，具有如下有益效果：本发明首先通过判断待构建的目标软件是否需要使用目标第三方组件进行构建；若是则判断目标软件需要使用的目标第三方组件是否为安全组件，若不是则拒绝使用目标第三方组件构建所述目标软件，并对目标第三方组件进行风险标记，若是则使用目标第三方组件对目标软件进行构建，然后获取使用目标第三方组件对目标软件进行构建后得到的目标软件构建结果，并根据目标软件构建结果判断目标软件是否构建成功，若目标软件构建成功则将目标软件构建结果所包含的测绘数据存储到目标软件测绘数据库，否则将目标软件构建结果所包含的测绘数据进行删除处理，可在软件构建过程中实现对第三方组件的安全管控，可以避免因使用第三方组件而引入安全风险。
附图说明
10.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
11.其中：图1为一个实施例中用于软件构建的第三方组件的安全管控方法一实施方式的实施流程图；图2为一个实施例中用于软件构建的第三方组件的安全管控装置一实施方式的框架结构图；图3为一个实施例中计算机设备一实施方式的结构框图。
具体实施方式
12.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
13.请参阅图1，结合图1可以得到，本发明实施例的一种用于软件构建的第三方组件的安全管控方法，包括以下几个步骤：步骤s101：判断待构建的目标软件是否需要使用目标第三方组件进行构建。
14.其中，在本步骤中，开发者使用研发工具链发起软件的构建任务，例如发起软件abc的1.0版本和软件mno的2.0版本的构建任务，在软件的构建过程中有可能需要使用第三
方组件进行构建，例如软件abc的1.0版本使用了3个第三方组件，软件mno的2.0版本也使用了4个第三方组件。
15.步骤s102：若所述目标软件需要使用目标第三方组件进行构建，则判断所述目标软件需要使用的所述目标第三方组件是否为安全组件。
16.其中，若所述目标软件需要使用的所述目标第三方组件为安全组件，则可以使用所述目标第三方组件对所述目标软件进行构建，否则不能使用所述目标第三方组件对所述目标软件进行构建。
17.步骤s103：若所述目标第三方组件不是安全组件，则拒绝使用所述目标第三方组件构建所述目标软件，并对所述目标第三方组件进行风险标记。
18.步骤s104：若所述目标第三方组件是安全组件，则使用所述目标第三方组件对所述目标软件进行构建。
19.步骤s105：获取使用所述目标第三方组件对所述目标软件进行构建后得到的目标软件构建结果，并根据所述目标软件构建结果判断所述目标软件是否构建成功。
20.步骤s106：若所述目标软件构建成功，则将所述目标软件构建结果所包含的测绘数据存储到目标软件测绘数据库，否则将所述目标软件构建结果所包含的测绘数据进行删除处理。
21.其中，当所述目标软件构建成功后，将所述目标软件构建结果所包含的测绘数据按软件名称 版本号的区分，存入目标软件测绘数据库中，比如软件mno的2.0版本构建成功，则将它的4个组件依赖关系存入目标软件测绘数据库中。如果所述目标软件构建失败，则丢弃本次已采集的测绘数据，比如软件abc的1.0版本的组件依赖关系不会被存储。
22.在本实施例中，可选地，还包括：第一，控制本地威胁情报数据库实时获取外部互联网对应的目标第三方组件风险数据。
23.其中，外部互联网对应的目标第三方组件风险数据是指当前外部互联网具有风险的第三方组件，这些目标第三方组件风险数据有些是经过各种变化形成的，是比较新的的风险数据。随着时间的推移，原先研判为安全的第三方组件可能暴露出新的安全漏洞。为此，建设本地威胁情报数据库，持续跟踪外部威胁情报数据，并将汇聚到的各种形式的情报数据转义为格式化的第三方组件风险数据，进行本地存储。除了支持威胁情报自动采集外，本地威胁情报数据库也支持安全管理员手工录入威胁情报。
24.第二，判断本地威胁情报数据库中是否包括所述目标第三方组件风险数据。
25.其中，本地威胁情报数据库实时更新第三方组件风险数据，只要是获取到的外部互联网对应的目标第三方组件风险数据，都会存储于本地威胁情报数据库，只要查询本地威胁情报数据库就可以知道最新的第三方组件风险数据。
26.第三，若所述本地威胁情报数据库中包括所述目标第三方组件风险数据，则将所述本地威胁情报数据库中的所述目标第三方组件风险数据标识为风险组件，并通知相关管理员进行跟进处理。
27.其中，所述本地威胁情报数据库用于为第三方组件提供持续风险评估的威胁情报支撑。
28.在本实施例中，可选地，所述判断待构建的目标软件是否需要使用目标第三方组
件进行构建，包括：第一，控制研发工具链从相关的软件包中获取全部软件对应的目标第三方组件依赖数据，所述目标第三方组件依赖数据包括全部软件直接依赖的第三方组件数据和第三方组件自身依赖的其它第三方组件数据。
29.其中，本步骤是为了形成对当前目标软件的全量第三方组件依赖关系的测绘数据，例如研发工具链可以从各自的软件包中分析出，软件abc使用了第三方组件component-a-1.0、component-b-2.0和component-c-3.0；软件mno使用了第三方组件component-d-1.0、component-e-2.0、component-f-3.0和component-g-4.0。
30.第二，控制研发工具链从所述目标软件对应的软件包中获取所述目标软件对应的目标软件组件数据，并判断所述目标第三方组件依赖数据是否包含所述目标软件组件数据。
31.其中，本步骤的目标软件组件数据包括所述目标软件对应的目标软件名称和目标软件版本，本步骤可根据所述目标软件名称、所述目标软件版本和所述目标第三方组件依赖数据，得到所述目标软件对应的全部第三方组件依赖数据。
32.第三，若所述目标第三方组件依赖数据包含所述目标软件组件数据，则判定待构建的所述目标软件需要使用所述目标第三方组件进行构建。
33.在本实施例中，可选地，所述判断所述目标软件需要使用的所述目标第三方组件是否为安全组件，包括：第一，判断所述目标软件需要使用的所述目标第三方组件是否存在于目标可信组件库。
34.第二，若所述目标软件需要使用的所述目标第三方组件存在于目标可信组件库，则进一步判断所述目标第三方组件对应的风险标签是否为安全标签。
35.其中，在本步骤中，目标可信组件库可在本地数据库中对所述目标软件需要使用的所述目标第三方组件的安全状态进行查询，例如component-a-1.0存在且风险标签为“安全”；component-b-2.0存在且风险标签为“不安全”；component-c-3.0不存在；component-d-1.0存在且风险标签为“安全”；component-e-2.0不存在；component-f-3.0不存在；component-g-4.0不存在。
36.第三，若所述目标第三方组件对应的风险标签为安全标签，则判定所述目标软件需要使用的所述目标第三方组件为安全组件，否则判定所述目标软件需要使用的所述目标第三方组件为不安全组件。
37.其中，所述目标第三方组件对应的风险标签为“不安全”，那么目标可信组件库通知研发工具链所述目标第三方组件因为安全问题不能使用；例如component-b-2.0的风险标签为“不安全”，则目标可信组件库向研发工具链反馈该组件因为安全问题不能使用，如果使用将导致研发工具链的软件abc的1.0版本的构建任务失败。
38.若该所述目标第三方组件的风险标签为“安全”，那么目标可信组件库将该组件同步给研发工具链，例如component-d-1.0的风险标签为“安全”，则目标可信组件库将该组件同步给研发工具链，研发工具链接收该组件，用于本次构建任务。
39.其中，所述目标可信组件库用于存储目标隔离组件库中经过安全审核的第三方组件，研发工具链可使用所述目标可信组件库中的第三方组件；所述目标隔离组件库用于根
据需要从互联网仓库下载第三方组件并将其暂存到本地，且在没有经过安全审核前，不会同步到所述目标可信组件库，研发工具链不可使用所述目标第三方组件。
40.在本实施例中，可选地，所述判断所述目标软件需要使用的所述目标第三方组件是否存在于目标可信组件库，之后包括：第一，若所述目标软件需要使用的所述目标第三方组件不存在于所述目标可信组件库，则控制所述目标可信组件库向所述目标隔离组件库发送同步请求，即请求所述目标隔离组件库提供所述目标第三方组件。
41.其中，例如所述目标第三方组件component-e-2.0、component-f-3.0和component-g-4.0需要向所述目标隔离组件库请求同步，所述目标隔离组件库或者存储有所述第三方组件，或者没有存储有所述第三方组件。
42.第二，控制所述目标隔离组件库查询所述目标软件需要使用的所述目标第三方组件，并判断是否可在所述目标隔离组件库查询到所述目标第三方组件。
43.其中，在本步骤中，所述目标隔离组件库在本地数据库中查询组件信息，例如查询结果为：component-e-2.0在所述目标隔离组件库中存在且风险标签为“安全”，component-f-3.0不存在，component-g-4.0不存在。
44.第三，若可在所述目标隔离组件库查询到所述目标第三方组件，则进一步判断所述目标第三方组件对应的风险标签是否为安全标签。
45.其中，在本步骤中，若所述目标第三方组件对应的风险标签为“安全”，则所述目标隔离组件库将该组件同步给目标可信组件库，目标可信组件库收到组件同步后，记录该组件的风险标签。例如component-e-2.0组件的风险标签为“安全”，则所述目标隔离组件库将该组件同步给目标可信组件库。若所述目标第三方组件对应的风险标签为“不安全”，则所述目标隔离组件库通知目标可信组件库该组件因为安全问题不能使用，目标可信组件库记录该组件的风险标签为“不安全”，如果后续研发工具链再次发送该组件的同步请求，就可以直接反馈结果。
46.第四，若所述目标第三方组件对应的风险标签为安全标签，则判定所述目标软件需要使用的所述目标第三方组件为安全组件，否则判定所述目标软件需要使用的所述目标第三方组件为不安全组件。
47.在本实施例中，可选地，所述判断是否可在所述目标隔离组件库查询到所述目标第三方组件，之后包括：第一，若不能在所述目标隔离组件库查询到所述目标第三方组件，则控制所述目标隔离组件库从互联网下载所述目标第三方组件，并获取从互联网下载的所述目标第三方组件对应的软件名称和软件版本。
48.其中，所述目标隔离组件库从互联网仓库下载component-f-3.0和component-g-4.0组件，并获取从互联网下载的component-f-3.0和component-g-4.0组件对应的软件名称和软件版本。
49.第二，根据所述软件名称和所述软件版本将所述目标第三方组件和所述本地威胁情报数据库中的第三方组件风险数据进行匹配，并判断通过所述本地威胁情报数据库是否能查询到所述目标第三方组件为不安全组件。
50.其中，针对新下载的述目标第三方组件，安全管控模块（研发工具链的一个部分）
将根据组件的名称和版本号，与所述本地威胁情报数据库中的组件风险信息进行匹配比对，安全管控模块在所述本地威胁情报数据库中查询该组件的该版本是否存在已知的安全风险，如在所述本地威胁情报数据库中查询到该组件的该版本存在已知的安全风险，则安全管控模块通知所述目标隔离组件库，所述目标隔离组件库将该版本的组件的风险标签记录为“不安全”。
51.第三，若通过所述本地威胁情报数据库能查询到所述目标第三方组件为不安全组件，则拒绝使用所述目标第三方组件构建所述目标软件，并对所述目标第三方组件进行风险标记。
52.在本实施例中，可选地，所述判断通过所述本地威胁情报数据库是否能查询到所述目标第三方组件为不安全组件，之后包括：第一，若通过所述本地威胁情报数据库不能查询到所述目标第三方组件为不安全组件，则通知安全管理员对所述目标第三方组件进行人工风险评估。
53.其中，若在所述本地威胁情报数据库中未查询到该组件的该版本存在已知的安全风险，则安全管控模块通知安全管理员对该组件进行风险评估，例如component-f-3.0和component-g-4.0组件没有在所述本地威胁情报数据库中匹配到已知的安全风险，则会通知安全管理员对该组件进行人工风险评估。
54.第二，获取安全管理员对所述目标第三方组件进行人工风险评估后的风险评估结果，并根据所述风险评估结果判断所述目标第三方组件是否为安全组件。
55.其中，安全管理员对所述目标第三方组件进行人工风险评估后，安全管控模块通知所述目标隔离组件库评估结果，所述目标隔离组件库根据评估结果设置该组件的风险标签，例如component-f-3.0和component-g-4.0组件在人工风险评估时未被检出安全风险，则安全管控模块通知所述目标隔离组件库将这两个组件的风险标签记录为“安全”。例如component-f-3.0和component-g-4.0组件的风险标签为“安全”，因此会被所述目标隔离组件库同步给目标可信组件库。
56.第三，若所述目标第三方组件为安全组件，则将所述目标第三方组件同步到所述目标可信组件库中。
57.另外，若所述目标第三方组件为不安全组件，则不将所述目标第三方组件同步到所述目标可信组件库中。
58.请参阅图2，结合图2可以得到，本发明实施例的一种用于软件构建的第三方组件的安全管控装置100，其包括：第一判断模块10，用于判断待构建的目标软件是否需要使用目标第三方组件进行构建；第二判断模块20，用于当所述目标软件需要使用所述目标第三方组件进行构建时，判断所述目标软件需要使用的所述目标第三方组件是否为安全组件；风险标记模块30，用于当所述目标第三方组件不是安全组件时，拒绝使用所述目标第三方组件构建所述目标软件，并对所述目标第三方组件进行风险标记；软件构建模块40，用于当所述目标第三方组件是安全组件时，使用所述目标第三方组件对所述目标软件进行构建；第三判断模块50，用于获取使用所述目标第三方组件对所述目标软件进行构建后
得到的目标软件构建结果，并根据所述目标软件构建结果判断所述目标软件是否构建成功；结果处理模块60，用于当所述目标软件构建成功时，则将所述目标软件构建结果所包含的测绘数据存储到目标软件测绘数据库，否则将所述目标软件构建结果所包含的测绘数据进行删除处理。
59.图3示出了一个实施例中计算机设备的内部结构图。该计算机设备具体可以是终端，也可以是服务器。如图3所示，该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，存储器包括非易失性存储介质和内存储器。该计算机设备的非易失性存储介质存储有操作系统，还可存储有计算机程序，该计算机程序被处理器执行时，可使得处理器实现上述的用于软件构建的第三方组件的安全管控方法。该内存储器中也可储存有计算机程序，该计算机程序被处理器执行时，可使得处理器执行上述的用于软件构建的第三方组件的安全管控方法。本领域技术人员可以理解，图3中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
60.在另一个实施例中，提出了一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行以下步骤：判断待构建的目标软件是否需要使用目标第三方组件进行构建；若所述目标软件需要使用目标第三方组件进行构建，则判断所述目标软件需要使用的所述目标第三方组件是否为安全组件；若所述目标第三方组件不是安全组件，则拒绝使用所述目标第三方组件构建所述目标软件，并对所述目标第三方组件进行风险标记；若所述目标第三方组件是安全组件，则使用所述目标第三方组件对所述目标软件进行构建；获取使用所述目标第三方组件对所述目标软件进行构建后得到的目标软件构建结果，并根据所述目标软件构建结果判断所述目标软件是否构建成功；若所述目标软件构建成功，则将所述目标软件构建结果所包含的测绘数据存储到目标软件测绘数据库，否则将所述目标软件构建结果所包含的测绘数据进行删除处理。
61.在另一个实施例中，提出了一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行以下步骤：判断待构建的目标软件是否需要使用目标第三方组件进行构建；若所述目标软件需要使用目标第三方组件进行构建，则判断所述目标软件需要使用的所述目标第三方组件是否为安全组件；若所述目标第三方组件不是安全组件，则拒绝使用所述目标第三方组件构建所述目标软件，并对所述目标第三方组件进行风险标记；若所述目标第三方组件是安全组件，则使用所述目标第三方组件对所述目标软件进行构建；获取使用所述目标第三方组件对所述目标软件进行构建后得到的目标软件构建结果，并根据所述目标软件构建结果判断所述目标软件是否构建成功；若所述目标软件构建成功，则将所述目标软件构建结果所包含的测绘数据存储到目标软件测绘数据库，否则将所述目标软件构建结果所包含的测绘数据进行删除处理。
62.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一非易失性计算机可读取
存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink) dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
63.本发明实施例首先通过判断待构建的目标软件是否需要使用目标第三方组件进行构建；若是则判断目标软件需要使用的目标第三方组件是否为安全组件，若不是则拒绝使用目标第三方组件构建所述目标软件，并对目标第三方组件进行风险标记，若是则使用目标第三方组件对目标软件进行构建，然后获取使用目标第三方组件对目标软件进行构建后得到的目标软件构建结果，并根据目标软件构建结果判断目标软件是否构建成功，若目标软件构建成功则将目标软件构建结果所包含的测绘数据存储到目标软件测绘数据库，否则将目标软件构建结果所包含的测绘数据进行删除处理，可在软件构建过程中实现对第三方组件的安全管控，可以避免因使用第三方组件而引入安全风险。
64.综上，本发明将未经过安全审核的第三方组件隔离在企业研发工具链系统之外，阻断不安全第三方组件对企业软件产品的影响。同时，具备组件的风险标签管理能力，可以变更组件的安全标签，并且与目标可信组件库同步，实现对研发工具链系统使用第三方组件的动态安全管控。另外，本发明提出的第三方组件风险持续评估方法，持续跟踪外部互联网威胁情报的变化，并得到第三方组件风险数据，然后将风险数据应用到目标隔离组件库，实现组件风险标签的动态切换，并且与目标可信组件库联动，实现对研发工具链系统使用第三方组件的动态安全管控。同时，该第三方组件风险数据，也应用到软件测绘库，可对已在使用中的软件版本进行风险回溯，及时处置已提供给用户的软件产品，避免因为第三方组件安全风险给用户造成利益损失。
65.以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
66.以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本技术专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。