本發(fā)明涉及操作系統(tǒng)漏洞修復(fù)技術(shù)，具體涉及一種linux操作系統(tǒng)的cve漏洞自動修復(fù)方法及系統(tǒng)。

背景技術(shù)：

1、內(nèi)核是操作系統(tǒng)的核心部分，負(fù)責(zé)管理系統(tǒng)資源和提供程序訪問硬件的接口，以最高特權(quán)級別運行，負(fù)責(zé)以安全、公平的方式管理和分配資源；內(nèi)核中存在漏洞，可能會被惡意攻擊者利用，導(dǎo)致系統(tǒng)受到破壞、數(shù)據(jù)泄露或服務(wù)中斷，給系統(tǒng)的安全性和穩(wěn)定性帶來潛在威脅。為了防范潛在的風(fēng)險，linux社區(qū)和cve官方通常會定期發(fā)布更新來修復(fù)已知的漏洞。

2、內(nèi)核研發(fā)團(tuán)隊為了滿足不同的硬件支持、應(yīng)用場景和安全需求，必須要及時對內(nèi)核漏洞進(jìn)行修復(fù)，以確保系統(tǒng)的整體安全性，提高系統(tǒng)的可靠性和穩(wěn)定性。通過嚴(yán)格的漏洞修復(fù)流程，保持系統(tǒng)的安全性，及時應(yīng)對安全挑戰(zhàn)，從而確保系統(tǒng)在不斷變化的威脅環(huán)境中保持安全性和彈性。如果依靠純?nèi)斯さ姆绞綄β┒催M(jìn)行修復(fù)，會耗費比較大的人力。

3、公開號cn112906008a的中國專利申請?zhí)岢鲆环N內(nèi)核漏洞修復(fù)方法、裝置、服務(wù)器及系統(tǒng)，其中方法包括：向服務(wù)器發(fā)送熱補丁獲取請求，所述熱補丁獲取請求中包括終端設(shè)備的內(nèi)核特征信息；接收服務(wù)器返回的修復(fù)代碼，所述修復(fù)代碼包括加載策略和與所述內(nèi)核特征信息對應(yīng)的熱補??；該加載策略為該終端設(shè)備提供加載該熱補丁時的加載依據(jù)；對所述熱補丁進(jìn)行驗證，驗證通過后，依據(jù)該加載策略，將所述熱補丁加載到所述終端設(shè)備的操作系統(tǒng)的內(nèi)核中，以對內(nèi)核漏洞進(jìn)行修復(fù)。該方法及時修復(fù)內(nèi)核漏洞，從而提高終端設(shè)備操作系統(tǒng)的可靠性，并且能夠節(jié)約系統(tǒng)資源。但是其主要是對cve漏洞的監(jiān)控，及補丁的提交，未涉及到修復(fù)補丁的獲取邏輯，以及后續(xù)提交給客戶時的熱補丁的解決方案。

4、公開號cn116305140a的中國專利申請公開了一種用于識別引入linux內(nèi)核漏洞的git提交的方法和系統(tǒng)，該方法包括獲取linux內(nèi)核的cve漏洞數(shù)據(jù)、識別修復(fù)linux內(nèi)核漏洞的git提交和識別引入linux內(nèi)核漏洞的git提交三個步驟。修復(fù)linux內(nèi)核漏洞的git提交用作linux內(nèi)核漏洞和引入linux內(nèi)核漏洞的git提交之間的橋梁。通過分析這些git提交的特征，可以幫助理解linux內(nèi)核漏洞是如何引入的，進(jìn)而幫助提升linux內(nèi)核漏洞檢測的準(zhǔn)確率，降低引入linux內(nèi)核漏洞的可能性，提升linux內(nèi)核的安全性。但是其主要針對單個修復(fù)補丁的提交，手動處理情況會比較多，并且提交的補丁也可能引入新的問題，對存在的異常判斷未做處理。

5、綜上所述，為解決內(nèi)核cve漏洞能夠快速的得到準(zhǔn)確的修復(fù)，并交付至客戶端，亟需一種更為簡潔、快速的方法來實現(xiàn)。

技術(shù)實現(xiàn)思路

1、本發(fā)明要解決的技術(shù)問題：針對現(xiàn)有技術(shù)的上述問題，提供一種linux操作系統(tǒng)的cve漏洞自動修復(fù)方法及系統(tǒng)，可以提高修復(fù)及時率，也可以減少大量人力成本。

2、為了解決上述技術(shù)問題，本發(fā)明采用的技術(shù)方案為：

3、一種linux操作系統(tǒng)的cve漏洞自動修復(fù)方法，包括針對代碼分支上未修復(fù)的cve漏洞進(jìn)行自動修復(fù)的步驟，具體包括：

4、配置包含需監(jiān)控的代碼分支的分支列表branchlist，配置好代碼分支與代碼本地路徑對應(yīng)關(guān)系；

5、查詢分支列表branchlist中cve漏洞修復(fù)狀態(tài)為未修復(fù)、且存在修復(fù)補丁編號fixid的cve漏洞編號cve-id并生成cve漏洞的待修復(fù)列表cilist；

6、遍歷待修復(fù)列表cilist中cve漏洞編號cve-id，針對每一個cve漏洞編號cve-id創(chuàng)建對應(yīng)的修復(fù)任務(wù)生成對應(yīng)的任務(wù)編號taskno；

7、獲取修復(fù)任務(wù)對應(yīng)的cve漏洞在上游社區(qū)中對應(yīng)的修復(fù)補丁cfix，將各個修復(fù)任務(wù)存入待自動修復(fù)列表qfalist中；

8、遍歷待自動修復(fù)列表qfalist獲取其中每一個元素對應(yīng)的依賴補丁列表ldep；

9、遍歷依賴補丁列表ldep中所有補丁，并遞歸獲取依賴補丁列表ldep中所有補丁在上游分支的修復(fù)補丁及依賴補丁，得到修復(fù)補丁列表lfix；

10、根據(jù)依賴補丁列表ldep、cve漏洞在上游社區(qū)中對應(yīng)的修復(fù)補丁cfix以及依賴補丁列表ldep中所有補丁在上游分支的修復(fù)補丁列表lfix，對cve修復(fù)補丁和對應(yīng)的依賴補丁及修復(fù)補丁依次進(jìn)行同步，依次將補丁正確有序地合入到本地代碼分支；若合入失敗或者依賴補丁及修復(fù)補丁超過預(yù)設(shè)的層級，則輸出報錯信息。

11、進(jìn)一步的，所述修復(fù)任務(wù)的函數(shù)表達(dá)式為：

12、，

13、上式中，為該cve漏洞對應(yīng)的cve漏洞編號cve-id，為該cve漏洞對應(yīng)的代碼分支，為該cve漏洞對應(yīng)的cve漏洞編號cve-id在上游社區(qū)中對應(yīng)的修復(fù)補丁的提交編號commitid，為該cve漏洞對應(yīng)的修復(fù)任務(wù)的任務(wù)編號taskno。

14、進(jìn)一步的，遍歷待自動修復(fù)列表獲取其中每一個元素對應(yīng)的依賴補丁列表時，針對遍歷得到的任意第i個元素的處理包括：

15、獲取第i個元素中的分支名，依據(jù)代碼分支與代碼本地路徑對應(yīng)關(guān)系獲取對應(yīng)代碼本地路徑，更新對應(yīng)代碼本地路徑下的本地代碼；

16、查詢獲取第i個元素的屬性對應(yīng)的上游倉庫，若上游倉庫存在對應(yīng)的依賴補丁，則將依賴補丁加入并生成依賴補丁列表；若上游倉庫不存在對應(yīng)的依賴補丁，生成依賴補丁列表為空集；

17、將第i個元素的屬性對應(yīng)的修復(fù)補丁合并到依賴補丁集合，從而第i個元素的對應(yīng)的依賴補丁列表。

18、進(jìn)一步的，遍歷依賴補丁列表ldep中所有補丁，并遞歸獲取依賴補丁列表ldep中所有補丁在上游分支的修復(fù)補丁及依賴補丁，得到修復(fù)補丁列表lfix時，包括：

19、更新本地代碼分支的代碼使其保持與遠(yuǎn)程分支一致；

20、遍歷依賴補丁列表ldep中所有補丁，查詢依賴補丁列表ldep中每個補丁的修復(fù)補丁集合，針對修復(fù)補丁集合中的每個修復(fù)補丁查詢其依賴補丁得到補丁對應(yīng)的依賴補丁集合，再針對依賴補丁集合中的依賴補丁遞歸查詢其修復(fù)補丁與修復(fù)補丁的依賴補丁，以此類推，直到修復(fù)補丁查詢結(jié)果為空，將遞歸查詢到的補丁添加到依賴補丁列表ldep中對應(yīng)的補丁在上游分支的修復(fù)補丁列表lfix中。

21、進(jìn)一步的，遍歷依賴補丁列表ldep中所有補丁，并遞歸獲取依賴補丁列表ldep中所有補丁在上游分支的修復(fù)補丁及依賴補丁，得到修復(fù)補丁列表lfix之前，包括：初始化依賴補丁查詢最深層級數(shù)和最大待提交補丁數(shù)；

22、針對修復(fù)補丁集合中的每個修復(fù)補丁查詢其依賴補丁得到補丁對應(yīng)的依賴補丁集合，再針對依賴補丁集合中的依賴補丁遞歸查詢其修復(fù)補丁與修復(fù)補丁的依賴補丁時，包括：

23、若查詢到的依賴補丁的層級數(shù)量達(dá)到依賴補丁查詢最深層級數(shù)，則輸出報錯信息，并獲取待自動修復(fù)列表qfalist中下一個元素對應(yīng)的依賴補丁列表ldep，以處理下一個cve漏洞；

24、若修復(fù)補丁查詢結(jié)果為空且查詢到的依賴補丁的層級數(shù)量未達(dá)到依賴補丁查詢最深層級數(shù)，則將遞歸查詢到的補丁添加到依賴補丁列表ldep中對應(yīng)的補丁在上游分支的修復(fù)補丁列表lfix中，判斷修復(fù)補丁列表lfix中需要提交的補丁數(shù)是否大于最大待提交補丁數(shù)；

25、若修復(fù)補丁列表lfix中需要提交的補丁數(shù)小于最大待提交補丁數(shù)，則執(zhí)行根據(jù)依賴補丁列表ldep、cve漏洞在上游社區(qū)中對應(yīng)的修復(fù)補丁cfix以及依賴補丁列表ldep中所有補丁在上游分支的修復(fù)補丁列表lfix，對cve修復(fù)補丁和對應(yīng)的依賴補丁及修復(fù)補丁依次進(jìn)行同步的步驟；

26、若修復(fù)補丁列表lfix中需要提交的補丁數(shù)大于最大待提交補丁數(shù)，則輸出報錯信息，并獲取待自動修復(fù)列表qfalist中下一個元素對應(yīng)的依賴補丁列表ldep，以處理下一個cve漏洞。

27、進(jìn)一步的，遍歷依賴補丁列表ldep中所有補丁，并遞歸獲取依賴補丁列表ldep中所有補丁在上游分支的修復(fù)補丁及依賴補丁，得到修復(fù)補丁列表lfix之后，包括：

28、將依賴補丁列表ldep、cve漏洞在上游社區(qū)中對應(yīng)的修復(fù)補丁cfix以及依賴補丁列表ldep中所有補丁在上游分支的修復(fù)補丁列表lfix中的補丁生成補丁修復(fù)隊列：

29、，

30、上式中，～為補丁修復(fù)隊列中的待自動修復(fù)cve的補丁信息，且有任意第i個待自動修復(fù)cve的補丁信息的表達(dá)式為：

31、，

32、上式中，為該cve漏洞對應(yīng)的cve漏洞編號cve-id，為該cve漏洞對應(yīng)的代碼分支，為該cve漏洞對應(yīng)的cve漏洞編號cve-id在上游社區(qū)中對應(yīng)的修復(fù)補丁的提交編號commitid，為該cve漏洞對應(yīng)的修復(fù)任務(wù)的任務(wù)編號taskno，為該cve漏洞對應(yīng)的依賴補丁列表ldep，為該cve漏洞對應(yīng)的依賴補丁列表ldep中所有補丁在上游分支的修復(fù)補丁列表；

33、根據(jù)補丁修復(fù)隊列中的待自動修復(fù)cve的補丁信息，分別對cve修復(fù)補丁和對應(yīng)的依賴補丁及修復(fù)補丁依次進(jìn)行同步。

34、進(jìn)一步的，針對代碼分支上未修復(fù)的cve漏洞進(jìn)行自動修復(fù)的步驟之前，還包括獲取本地維護(hù)的代碼分支上未修復(fù)的cve漏洞的步驟，包括：

35、從網(wǎng)絡(luò)上抓取cve漏洞數(shù)據(jù)；

36、結(jié)合獲取的cve漏洞數(shù)據(jù)獲取本地維護(hù)代碼各分支的cve漏洞修復(fù)情況，從而獲取得到本地維護(hù)代碼各分支上未修復(fù)的cve漏洞。

37、進(jìn)一步的，針對代碼分支上未修復(fù)的cve漏洞進(jìn)行自動修復(fù)之后還包括：

38、將本地維護(hù)代碼各分支的代碼根據(jù)預(yù)設(shè)的補丁提交規(guī)則推送到代碼評審平臺；

39、代碼評審平臺根據(jù)補丁提交規(guī)則獲取提交的修復(fù)補丁集合，并根據(jù)修復(fù)補丁集合更新linux操作系統(tǒng)的cve漏洞修復(fù)狀態(tài)并生成日志用以查驗。

40、本發(fā)明還提出一種linux操作系統(tǒng)的cve漏洞自動修復(fù)系統(tǒng)，包括相互連接的微處理器和存儲器，所述微處理器被編程或配置以執(zhí)行任意一項所述linux操作系統(tǒng)的cve漏洞自動修復(fù)方法。

41、本發(fā)明還提出一種計算機可讀存儲介質(zhì)，該計算機可讀存儲介質(zhì)中存儲有計算機程序/指令，該計算機程序/指令被編程或配置以通過處理器執(zhí)行任意一項所述linux操作系統(tǒng)的cve漏洞自動修復(fù)方法。

42、本發(fā)明還提出一種計算機程序產(chǎn)品，包括計算機程序/指令，該計算機程序/指令被編程或配置以通過處理器執(zhí)行任意一項所述linux操作系統(tǒng)的cve漏洞自動修復(fù)方法。

43、相比現(xiàn)有技術(shù)，本發(fā)明具有以下優(yōu)點：

44、本發(fā)明對于未修復(fù)的漏洞，通過依賴補丁列表以及上游分支的修復(fù)補丁列表進(jìn)行修復(fù)補丁的依賴查詢，不僅處理直接的cve漏洞修復(fù)，還考慮了補丁的依賴關(guān)系，確保所有相關(guān)的補丁都能正確、有序地應(yīng)用，避免了因補丁依賴問題導(dǎo)致的系統(tǒng)不穩(wěn)定或修復(fù)不完全。

45、本發(fā)明實現(xiàn)了從漏洞識別、補丁獲取到補丁應(yīng)用的全自動化流程，大大減少了人工干預(yù)的需要，提高了修復(fù)效率和準(zhǔn)確性。