(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114254322A(43)申请公布日2022.03.29(21)申请号202011009922.0(22)申请日2020.09.23(71)申请人华为云计算技术有限公司地址550025贵州省贵阳市贵安新区黔中大道交兴功路华为云数据中心(72)发明人艾淼詹应根(74)专利代理机构北京三高永信知识产权代理有限责任公司11138代理人杨广宇(51)Int.Cl.G06F21/57(2013.01)G06F21/12(2013.01)权利要求书2页说明书11页附图5页(54)发明名称漏洞评估的方法、装置、计算设备和存储介质(57)摘要本申请实施例提供了一种漏洞评估的方法、装置、计算设备和存储介质，该方法属于漏洞评估技术领域。该方法包括：获取被评估的操作系统上安装的至少一个软件的标识和来源信息，根据该至少一个软件中目标软件的来源信息，确定目标软件来自目标软件源，目标软件源与操作系统的提供方不相同。然后根据目标软件的标识和目标软件源的安全公告规则，判断目标软件是否受到安全公告规则中的漏洞的影响。采用本申请，可以全面的进行漏洞评估。CN114254322ACN114254322A权利要求书1/2页1.一种漏洞评估的方法，其特征在于，所述方法包括：计算设备获取操作系统上安装的至少一个软件的标识和来源信息；所述计算设备根据所述至少一个软件中目标软件的来源信息，确定所述目标软件来自目标软件源，其中，所述目标软件源与所述操作系统的提供方不相同；所述计算设备根据所述目标软件的标识和所述目标软件源的安全公告规则，判断所述目标软件是否受到所述安全公告规则中的漏洞的影响。2.根据权利要求1所述的方法，其特征在于，所述至少一个软件包括除所述操作系统的提供方之外的提供方为所述操作系统开发的软件，和/或与所述操作系统兼容的软件。3.根据权利要求1或2所述的方法，其特征在于，所述计算设备获取操作系统上安装的至少一个软件的标识和来源信息，包括：所述计算设备在运行的linux操作系统上，获取所述linux操作系统上安装的至少一个软件的标识和来源信息。4.根据权利要求1至3任一项所述的方法，其特征在于，所述计算设备根据所述目标软件的来源信息，确定所述目标软件来自目标软件源，包括：所述计算设备将所述目标软件的来源信息与预存储的软件源特征库中的特征信息进行查找与匹配，确定所述目标软件来自所述目标软件源。5.根据权利要求1至4任一项所述的方法，其特征在于，所述目标软件源的安全公告规则为在预存储的安全公告漏洞规则库中获取的所述目标软件源对应的安全公告规则；所述方法还包括：所述计算设备在所述目标软件源的网站中，周期性获取所述目标软件源的新的安全公告规则，更新所述安全公告漏洞规则库中所述目标软件源对应的安全公告规则。6.根据权利要求1至5任一项所述的方法，其特征在于，所述方法还包括：若所述计算设备未获取到所述目标软件源的安全公告规则，则输出不支持对所述目标软件进行漏洞评估的提示消息，和/或输出添加所述目标软件源的安全公告规则的提示消息。7.根据权利要求1至6任一项所述的方法，其特征在于，所述方法还包括：所述计算设备生成并输出漏洞评估报告；其中，所述漏洞评估报告包括以下信息中的一种或多种：所述至少一个软件中存在漏洞的软件的标识、存在漏洞的漏洞类型、存在漏洞的软件的修复漏洞方式或所述至少一个软件中未进行漏洞评估的软件的标识。8.一种漏洞评估的装置，其特征在于，所述装置包括：获取模块，用于获取操作系统上安装的至少一个软件的标识和来源信息；确定模块，用于根据所述至少一个软件中目标软件的来源信息，确定所述目标软件来自目标软件源，其中，所述目标软件源与所述操作系统的提供方不相同；漏洞判断模块，用于根据所述目标软件的标识和所述目标软件源的安全公告规则，判断所述目标软件是否受到所述安全公告规则中的漏洞的影响。9.根据权利要求8所述的装置，其特征在于，所述至少一个软件包括除所述操作系统的提供方之外的提供方为所述操作系统开发的软件，和/或与所述操作系统兼容的软件。10.根据权利要求8或9所述的装置，其特征在于，所述获取模块，用于：在运行的linux操作系统上，获取所述linux操作系统上安装的至少一个软件的标识和2CN114254322A权利要求书2/2页来源信息。11.根据权利要求8至10任一项所述的装置，其特征在于，所述确定模块，用于：将所述目标软件的来源信息与预存储的软件源特征库中的特征信息进行查找与匹配，确定所述目标软件来自所述目标软件源。12.根据权利要求8至11任一项所述的装置，其特征在于，所述目标软件源的安全公告规则为在预存储的安全公告漏洞规则库中获取的所述目标软件源对应的安全公告规则；所述获取模块，还用于：