一种面向软件供应链的高风险组件安全知识库构建方法

本发明属于物联网安全技术领域，具体是一种面向软件供应链的高风险组件安全知识库构建方法。包括S100：对物联网领域中的组件信息的抓取和收集，采集二进制组件的基本信息；S200：解析组件的配置文件，获得组件间的依赖关系，构建三个数据集合；S300：从公开漏洞数据库描述信息中识别高风险组件名称和版本范围，得到漏洞‑版本映射关系；S400：从开源漏洞数据库中收集漏洞diff文件，逆向提取漏洞函数，将漏洞触发语句所在的函数作为漏洞函数添加到漏洞知识库中，建立高风险组件的漏洞‑版本关系知识库；S500：对高风险组件补丁提交范围中的提交代码进行搜索排名，从排名靠前位置确定安全补丁，并以此构建安全补丁知识库。