摘要
本发明公开了一种软件供应链安全管理方法及系统,涉及网络安全技术领域。通过软件成分分析引擎识别软件资产中的开源组件、漏洞及许可证信息,在隔离沙箱中验证漏洞可利用性并生成动态报告;基于法律知识图谱解析许可证合规性,结合漏洞验证结果生成风险处置指令并推送至DevOps平台或工单系统执行;同时通过联邦学习引擎融合多源情报,预测0day漏洞风险并关联资产推送分级提示。本发明实现了软件供应链全生命周期的动态风险管控,解决了传统治理中检测盲区、评估静态化、合规性弱等问题,显著提升供应链安全性与管理效率,适用于金融、电力等关键行业。
