1、隨著近幾年安全事件不斷發(fā)生以及威脅程度不斷加重，網(wǎng)絡(luò)安全的危害范圍小到個(gè)人隱私大到政府、國(guó)家級(jí)別的網(wǎng)絡(luò)空間安全問(wèn)題沖突，應(yīng)當(dāng)說(shuō)安全事件是愈演愈烈?；诖耍瑐€(gè)人以及政府也越來(lái)越重視網(wǎng)絡(luò)安全問(wèn)題。網(wǎng)絡(luò)安全問(wèn)題的本質(zhì)是存在可以利用的漏洞，所以對(duì)漏洞的管理和分析對(duì)于網(wǎng)絡(luò)管理人員來(lái)說(shuō)就顯得十分重要。
　　目前市場(chǎng)上的漏洞掃描工具種類(lèi)繁多，兼容性很差，單一的漏洞掃描通常都會(huì)有比較高的漏洞錯(cuò)報(bào)和誤報(bào)。并且通常來(lái)說(shuō)，都只是負(fù)責(zé)漏洞的檢測(cè)和比較初步

2、的修復(fù)，并不是真正意義上的漏洞分析和漏洞管理。普遍采用的依然是工具掃描出報(bào)告然后人工整合漏洞修復(fù)的低效率過(guò)程，對(duì)于整個(gè)漏洞的從發(fā)現(xiàn)到修復(fù)的周期來(lái)說(shuō)花費(fèi)太多不必要的精力。
　　本文描述的基于Web的漏洞管理工具研究和開(kāi)發(fā)，集成了目前市場(chǎng)比較常用的軟件型漏洞掃描工具，將漏洞掃描工具導(dǎo)出的XML文件作為分析的數(shù)據(jù)來(lái)源，通過(guò)上傳到本漏洞管理工具，使用Java Sax技術(shù)進(jìn)行XML文件的解析，解析完成后，漏洞信息會(huì)保存到數(shù)據(jù)存儲(chǔ)設(shè)備中。分析

3、各漏洞管理結(jié)果的XML文檔結(jié)構(gòu)，然后通過(guò)XML的結(jié)構(gòu)特點(diǎn)和特性，編寫(xiě)相同漏洞合并算法。算法的主要原理描述，首先主要通過(guò)判斷漏洞掃描工具的動(dòng)態(tài)掃描還是靜態(tài)掃描類(lèi)別、漏洞產(chǎn)生的類(lèi)型、漏洞發(fā)生時(shí)的路徑信息、漏洞中的參數(shù)描述、漏洞官方CWE編號(hào)等因素來(lái)判斷是否是同一個(gè)漏洞，相同漏洞會(huì)進(jìn)行漏洞合并。這樣減少了漏洞管理的開(kāi)銷(xiāo)，提高了效率，也減少了單一掃描工具的誤報(bào)率錯(cuò)報(bào)率高的問(wèn)題。
　　以Web形式展示漏洞詳情，可以查看漏洞掃描的總體情況，不

4、同危害等級(jí)不同顏色高亮顯示，在表現(xiàn)形式上，可以選擇優(yōu)先展示危害等級(jí)高的漏洞，通過(guò)對(duì)漏洞的分析，對(duì)漏洞修復(fù)趨勢(shì)進(jìn)行展示，并且突出漏洞數(shù)量最多的應(yīng)用，某一個(gè)具體漏洞的描述詳情，修復(fù)進(jìn)展，漏洞評(píng)論等，安全狀態(tài)一目了然。便于網(wǎng)站管理人員、項(xiàng)目經(jīng)理以及安全測(cè)試人員對(duì)最新進(jìn)展做出修復(fù)安排。加入了對(duì)Bugzilla工具的支持，實(shí)現(xiàn)了對(duì)漏洞缺陷的跟蹤管理，對(duì)于漏洞的發(fā)現(xiàn)、修復(fù)、關(guān)閉等整個(gè)周期監(jiān)控，及時(shí)反應(yīng)漏洞修復(fù)狀態(tài)。增加了對(duì)JasperReport工