本發(fā)明涉及軟件供應(yīng)鏈領(lǐng)域，特別涉及一種軟件供應(yīng)鏈安全檢測(cè)綜合管理平臺(tái)。

背景技術(shù)：

1、軟件供應(yīng)鏈安全檢測(cè)綜合管理平臺(tái)是一種專門為保障軟件供應(yīng)鏈安全而設(shè)計(jì)的綜合性管理系統(tǒng)。

2、公告號(hào)為cn117077145a的專利，公開了一種企業(yè)實(shí)施軟件供應(yīng)鏈安全管理平臺(tái)，包括：平臺(tái)服務(wù)端和客戶端，用于將下載的客戶端安裝部署在被掃描的主機(jī)上，并啟動(dòng)掃描程序，在平臺(tái)服務(wù)端的ip范圍配置界面配置要掃描的ip掃描段，掃描器客戶端程序會(huì)輪巡請(qǐng)求平臺(tái)服務(wù)端配置信息獲取相關(guān)指令：現(xiàn)有的軟件供應(yīng)鏈安全管理平臺(tái)在用戶進(jìn)行下載軟件時(shí)，由于沒有給出用于判定是否安裝指令，容易直接導(dǎo)致下載的軟件被攻擊，同時(shí)當(dāng)軟件下載到最后時(shí)，發(fā)現(xiàn)不能安裝的問題。

3、為解決上述問題。為此，提出一種軟件供應(yīng)鏈安全檢測(cè)綜合管理平臺(tái)。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的在于提供一種軟件供應(yīng)鏈安全檢測(cè)綜合管理平臺(tái)，解決了用戶在電腦上運(yùn)行了程序，這些程序中可能植入了病毒，在用戶下載時(shí)對(duì)軟件進(jìn)行惡意的攻擊，影響到導(dǎo)致軟件的安裝和使用的問題。

2、為實(shí)現(xiàn)上述目的，本發(fā)明提供如下技術(shù)方案：一種軟件供應(yīng)鏈安全檢測(cè)綜合管理平臺(tái),包括有漏洞掃描與檢測(cè)模塊：用于對(duì)軟件供應(yīng)鏈中的各個(gè)環(huán)節(jié)進(jìn)行全面的漏洞掃描，檢測(cè)潛在的安全漏洞，代碼漏洞、配置錯(cuò)誤、權(quán)限管理不當(dāng)，并提供詳細(xì)的漏洞報(bào)告；

3、漏洞掃描與檢測(cè)模塊中電腦性能檢測(cè)公式為：

4、電腦性能綜合指數(shù)cpi=α×cpu性能得分+β×內(nèi)存性能得分+γ×硬盤性能得分+；

5、其中，α、β、γ為權(quán)重系數(shù)，可根據(jù)軟件對(duì)不同性能指標(biāo)的依賴程度調(diào)整，cpu性能得分可綜合考慮cpu使用率、時(shí)鐘頻率因素確定；內(nèi)存性能得分可根據(jù)內(nèi)存占用率、內(nèi)存讀寫速度確定；硬盤性能得分可根據(jù)硬盤空間、讀寫速度確定；

6、漏洞掃描與檢測(cè)模塊中判斷用戶是否安裝殺毒軟件公式為：

7、安裝可行性指數(shù)（ifi）公式：ifi=f(殺毒軟件狀態(tài)，cpi)；

8、ifi=a×殺毒軟件狀態(tài)值+b×cpi，殺毒軟件狀態(tài)值是0（關(guān)閉）或1（開啟），a和b為系數(shù)；

9、安裝后問題風(fēng)險(xiǎn)指數(shù)（pri）公式：pri=g(新增殺毒軟件影響值，性能變化影響值)，

10、pri=c×新增殺毒軟件影響值+d×性能變化影響值，新增殺毒軟件影響值可根據(jù)新殺毒軟件的安全級(jí)別、與軟件的沖突程度因素確定，取值范圍為0到1；

11、性能變化影響值可根據(jù)電腦性能變化前后的cpi差值確定，取值范圍也為0到1；c和d為系數(shù)；

12、供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估模塊：評(píng)估軟件供應(yīng)鏈中的風(fēng)險(xiǎn)因素，供應(yīng)商的信譽(yù)度、軟件的來源可靠性、供應(yīng)鏈的復(fù)雜性，確定風(fēng)險(xiǎn)級(jí)，為企業(yè)制定風(fēng)險(xiǎn)管理策略提供依據(jù)；

13、安全策略管理模塊：制定和實(shí)施軟件供應(yīng)鏈安全策略，確保軟件的開發(fā)、采購和使用符合安全標(biāo)準(zhǔn)，對(duì)安全策略的執(zhí)行情況進(jìn)行監(jiān)控和審計(jì)，及時(shí)發(fā)現(xiàn)和糾正違規(guī)行為；

14、事件響應(yīng)與管理模塊：當(dāng)安全事件發(fā)生時(shí)，能夠快速響應(yīng)，進(jìn)行事件調(diào)查和分析，提供應(yīng)急處理措施，減少安全事件對(duì)企業(yè)的影響，對(duì)安全事件進(jìn)行記錄和總結(jié)，以便改進(jìn)安全管理措施；

15、用戶環(huán)境評(píng)估模塊：在用戶下載軟件時(shí)，經(jīng)過用戶同意，訪問用戶的電腦，檢測(cè)不同殺毒軟件的開啟或關(guān)閉狀態(tài)，同時(shí)評(píng)估電腦性能，并將這些數(shù)據(jù)反饋給企業(yè)終端，判斷用戶是否安裝該軟件，在安裝后，持續(xù)監(jiān)測(cè)用戶電腦環(huán)境，若出現(xiàn)新的殺毒軟件導(dǎo)致安裝不成功，將安裝不成功的軟件信息傳送到企業(yè)環(huán)境運(yùn)營(yíng)的終端；

16、軟件提供清晰的說明，告知用戶在下載過程中會(huì)進(jìn)行電腦環(huán)境檢測(cè)，包括殺毒軟件狀態(tài)和電腦性能評(píng)估，并說明數(shù)據(jù)用途和安全保障措施，征求用戶同意，用戶同意后開始下載軟件，軟件安裝包中包含檢測(cè)模塊。

17、進(jìn)一步的，所述軟件下載檢測(cè)階段：軟件下載時(shí)，環(huán)境檢測(cè)模塊運(yùn)行，掃描用戶電腦，檢測(cè)模塊識(shí)別已安裝的殺毒軟件，通過查找進(jìn)程名或服務(wù)名或特定文件，確定其開啟或關(guān)閉狀態(tài)，同時(shí)，評(píng)估電腦性能，可獲取cpu使用率、內(nèi)存占用率、硬盤讀寫速度參數(shù)，將這些數(shù)據(jù)打包準(zhǔn)備傳輸給企業(yè)終端；

18、數(shù)據(jù)傳輸與分析階段：軟件將檢測(cè)數(shù)據(jù)發(fā)送至企業(yè)服務(wù)器終端，企業(yè)終端接收數(shù)據(jù)后，根據(jù)漏洞掃描與檢測(cè)模塊中預(yù)設(shè)的規(guī)則和算法，結(jié)合軟件的兼容性要求，判斷該用戶電腦環(huán)境是否適合安裝軟件；

19、用戶安裝階段：通過對(duì)漏洞掃描與檢測(cè)模塊中預(yù)設(shè)的規(guī)則和算法計(jì)算得出，可安裝的通知或不可安裝的通知和其原因；

20、下載后監(jiān)測(cè)階段：軟件下載完成后進(jìn)行安裝，持續(xù)在后臺(tái)運(yùn)行檢測(cè)模塊，觸發(fā)式地檢查電腦環(huán)境，若檢測(cè)到新的殺毒軟件出現(xiàn)，記錄其信息，同時(shí)，持續(xù)監(jiān)測(cè)電腦性能變化；

21、問題反饋階段：新出現(xiàn)的殺毒軟件導(dǎo)致安裝不成功或軟件運(yùn)行出現(xiàn)問題，將軟件狀態(tài)及相關(guān)數(shù)據(jù)再次打包傳輸至企業(yè)環(huán)境運(yùn)營(yíng)終端。

22、進(jìn)一步的，所述數(shù)據(jù)傳輸與分析階段判斷方式為：電腦性能綜合指數(shù)（cpi）≥電腦性能綜合指數(shù)閾值且安裝可行性指數(shù)（ifi）≥安裝可行性指數(shù)閾值，則判斷為適合安裝軟件；

23、安裝后問題風(fēng)險(xiǎn)指數(shù)（pri）≤安裝后風(fēng)險(xiǎn)可接受閾值，則判斷為安裝后風(fēng)險(xiǎn)較低；

24、pri＞pri風(fēng)險(xiǎn)可接受閾值,則判斷為安裝后風(fēng)險(xiǎn)較高。

25、進(jìn)一步的，所述供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估模塊流程中供應(yīng)鏈綜合風(fēng)險(xiǎn)指數(shù)（scri）=e×供應(yīng)商信譽(yù)度得分+f×軟件來源可靠性得分+g×供應(yīng)鏈復(fù)雜性得分；

26、其中，e、f、g為權(quán)重系數(shù)，可根據(jù)企業(yè)對(duì)不同風(fēng)險(xiǎn)因素的重視程度調(diào)整，供應(yīng)商信譽(yù)度得分可以根據(jù)供應(yīng)商的歷史表現(xiàn)、行業(yè)評(píng)價(jià)因素確定；軟件來源可靠性得分可以考慮軟件的來源渠道、認(rèn)證情況；供應(yīng)鏈復(fù)雜性得分可以根據(jù)供應(yīng)鏈的環(huán)節(jié)數(shù)量、涉及的地域范圍確定。

27、進(jìn)一步的，所述用戶安裝階段在通知用戶可安裝或不可安裝的原因時(shí)幫助用戶理解決策依據(jù)的公式為：安裝決策解釋指數(shù)（idi）=h×殺毒軟件影響度+i×電腦性能影響度；

28、其中，h和i為系數(shù)，殺毒軟件影響度可以根據(jù)殺毒軟件狀態(tài)值與軟件兼容性的關(guān)系確定，殺毒軟件與軟件沖突較大，殺毒軟件影響度就較高；電腦性能影響度可以根據(jù)cpi與軟件最低性能要求的差距確定，差距越大，電腦性能影響度越高，這個(gè)指數(shù)可以以百分比的形式呈現(xiàn)給用戶，讓用戶了解每個(gè)因素對(duì)安裝決策的影響程度。

29、進(jìn)一步的，所述軟件供應(yīng)鏈安全檢測(cè)綜合管理平臺(tái)的漏洞掃描與檢測(cè)模塊、供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估模塊、安全策略管理模塊和事件響應(yīng)與管理模塊與用戶環(huán)境評(píng)估模塊相互配合，共同保障軟件供應(yīng)鏈的安全；

30、漏洞掃描與檢測(cè)模塊檢測(cè)軟件在用戶環(huán)境中的潛在漏洞，供應(yīng)鏈風(fēng)險(xiǎn)評(píng)估模塊考慮用戶環(huán)境因素對(duì)供應(yīng)鏈風(fēng)險(xiǎn)的影響，安全策略管理模塊制定針對(duì)不同用戶環(huán)境的安全策略，事件響應(yīng)與管理模塊在用戶環(huán)境出現(xiàn)問題時(shí)快速響應(yīng)和處理。

31、進(jìn)一步的，所述軟件供應(yīng)鏈安全檢測(cè)綜合管理平臺(tái)的企業(yè)環(huán)境運(yùn)營(yíng)終端接收用戶環(huán)境評(píng)估數(shù)據(jù)后，對(duì)數(shù)據(jù)進(jìn)行存儲(chǔ)、分析和統(tǒng)計(jì)，為軟件的改進(jìn)和優(yōu)化提供依據(jù)，根據(jù)不同用戶的電腦性能和殺毒軟件情況，調(diào)整軟件的配置和優(yōu)化策略，提高軟件的兼容性和穩(wěn)定性。

32、進(jìn)一步的，所述安全策略管理模塊與安全工具和系統(tǒng)進(jìn)行集成，形成更加完善的安全防護(hù)體系，與企業(yè)的漏洞管理系統(tǒng)、入侵檢測(cè)系統(tǒng)、防火墻進(jìn)行集成，實(shí)現(xiàn)信息共享和協(xié)同防護(hù)，同時(shí)，平臺(tái)與軟件供應(yīng)商的開發(fā)管理系統(tǒng)進(jìn)行對(duì)接，及時(shí)反饋用戶環(huán)境問題，促進(jìn)軟件的改進(jìn)和優(yōu)化。

33、進(jìn)一步的，所述用戶下載軟件經(jīng)過用戶同意進(jìn)行訪問確保用戶數(shù)據(jù)的安全和隱私，軟件在進(jìn)行用戶環(huán)境評(píng)估時(shí)，采用加密傳輸和存儲(chǔ)技術(shù)，嚴(yán)格遵守相關(guān)的法律法規(guī)和隱私政策，企業(yè)對(duì)用戶數(shù)據(jù)的使用和管理進(jìn)行嚴(yán)格的權(quán)限控制，防止數(shù)據(jù)泄露和濫用，同時(shí)，企業(yè)定期對(duì)用戶數(shù)據(jù)進(jìn)行安全審計(jì)和風(fēng)險(xiǎn)評(píng)估，及時(shí)發(fā)現(xiàn)和解決安全隱患。

34、進(jìn)一步的，所述軟件供應(yīng)鏈安全檢測(cè)綜合管理平臺(tái)，還包括用戶環(huán)境評(píng)估模塊：用于軟件在用戶下載時(shí)進(jìn)行環(huán)境評(píng)估，獲取用戶電腦的殺毒軟件狀態(tài)和性能數(shù)據(jù)，通過公式計(jì)算判斷用戶是否安裝軟件，如果安裝，用戶進(jìn)行軟件安裝，安裝后，平臺(tái)持續(xù)監(jiān)測(cè)用戶環(huán)境，若出現(xiàn)問題，及時(shí)反饋給企業(yè)終端進(jìn)行處理，平臺(tái)的其他模塊對(duì)軟件供應(yīng)鏈進(jìn)行全面的安全檢測(cè)和管理，保障軟件的安全性和可靠性，各個(gè)模塊之間相互配合，形成一個(gè)完整的軟件供應(yīng)鏈安全防護(hù)體系。

35、與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果是：

36、本發(fā)明提供的一種軟件供應(yīng)鏈安全檢測(cè)綜合管理平臺(tái)，通過設(shè)置有用戶環(huán)境評(píng)估模塊，在用戶下載時(shí)會(huì)將軟件捆綁的檢測(cè)模塊下載下來，檢測(cè)模塊對(duì)用戶的電腦進(jìn)行檢測(cè)，看是否有在環(huán)境評(píng)估時(shí)用到的惡意軟件病毒，將其數(shù)據(jù)反饋給終端進(jìn)行分析，對(duì)用戶給出是否可以安裝的建議的，將已經(jīng)已知的惡意軟件進(jìn)行屏蔽，相對(duì)于現(xiàn)有技術(shù)，減少軟件被攻擊的可能性并且可以減少用戶下載到最后不能安裝的可能性，從而達(dá)到了使可以軟件得到更好保護(hù)的目的。