一种基于软件包命名矩阵的软件漏洞识别方法与系统

摘要

本发明公开了一种基于软件包命名矩阵的软件漏洞识别方法，提取漏洞数据的CPE信息；将待检测软件的包名与所述CPE信息中的原始包名进行匹配；如果原始包名匹配失败，则基于所述原始包名查询软件包命名矩阵，以获取所述原始包名的别名，并将待检测软件的包名与所述CPE信息中的别名进行匹配；如果原始包名或者别名匹配成功，则将待测软件的版本号与所述CPE信息中的版本号进行匹配；如果版本号匹配成功，则过滤出该漏洞数据，作为第一优先漏洞数据；如果版本号匹配失败，则过滤出该漏洞数据，作为第二优先漏洞数据；如果别名匹配失败，则判断该漏洞数据不影响待测软件。提高了过滤器的覆盖率，为待检测软件的最终安全漏洞分析结果提供了全面的数据基础。