【技術實現步驟摘要】
本專利技術涉及汽車安全,尤其涉及一種漏洞自動化驗證方法、系統、程序產品及介質。
技術介紹
1、隨著汽車網聯化和智能化的發展,汽車網絡安全問題日益嚴峻,越來越多的企業采用漏洞掃描的方式對代碼進行安全檢測,旨在發現更多潛在風險。
2、盡管現有自動化漏洞掃描工具能夠高效識別和匹配漏洞如cve漏洞,但在漏洞驗證方面仍存在明顯不足。傳統的漏洞掃描工具通常缺乏對cve漏洞的自動化驗證能力,導致研發人員需要花費大量時間和精力進行漏洞驗證和評估,雖然部分工具提供了基礎的自動化驗證功能,但其驗證準確性和覆蓋范圍仍然有限,難以滿足復雜多樣的企業需求,從而導致存在以下問題:
3、漏洞覆蓋范圍有限:現有自動化驗證系統對漏洞驗證的覆蓋范圍有限,無法有效驗證所有類型的漏洞,特別是復雜的、多步驟的漏洞驗證;
4、漏洞驗證準確性不足:許多漏洞驗證方法在驗證過程中容易出現誤報或漏報,影響漏洞驗證的準確性;
5、漏洞驗證缺乏靈活性:現有的漏洞驗證方法難以靈活適應不同企業的代碼倉庫環境和開發流程,難以滿足企業特定的需求。
技術實現思路
1、針對上述技術問題,本專利技術提供了一種漏洞自動化驗證方法、系統、設備及介質,可以實現對漏洞的自動化驗證需求,提升漏洞驗證的準確性和效率,減少研發人員的處置壓力,提高軟件質量。
2、本專利技術的第一方面提供一種漏洞自動化驗證方法,包括:
3、獲取并對代碼比對組分別進行序列化處理得到各標記序列;
4、對各
5、基于基礎差異片段確定各差異片段間的相似度,基于差異片段位置確定各差異片段間的相鄰度;將標記序列組中滿足預設相似度和預設相鄰度的差異片段進行合并,得到差異區塊;
6、基于該差異區塊進行代碼比對,生成代碼比對組的差異結果。
7、作為一種可選的實施方式,所述對標記序列組篩選,得到差異片段,包括:
8、計算標記序列組中的各標記序列的哈希值;
9、基于哈希值比較標記序列組中的各標記序列,并得出差異片段。
10、作為一種可選的實施方式,所述獲取標記序列組中的最小編輯操作序列,定位出差異片段位置,包括:
11、計算標記序列組中標記序列間的編輯距離;
12、基于該編輯距離確定標記序列間的最小編輯操作序列,最小編輯操作的內容至少包括標記出修改位置及對應的修改操作類型。
13、作為一種可選的實施方式,所述漏洞自動化驗證方法還包括:
14、查詢漏洞對應的poc;
15、對于已公開poc的漏洞,配置對應的測試環境url和域控制器參數,進行自動化驗證;
16、對于未公開poc的漏洞,基于漏洞特征生成poc腳本,進行基于poc腳本的漏洞自動化驗證。
17、作為一種可選的實施方式,在查詢漏洞對應的poc之前,還包括:
18、響應用戶軟件物料清單的錄入動作,并錄制訪問代碼倉庫的登錄會話。
19、本專利技術第二方面提供一種漏洞自動化驗證系統,包括:第一驗證模塊,所述第一驗證模塊包括:
20、獲取模塊,至少用于代碼對比組分別進行序列化處理得到各標記序列;
21、處理模塊,至少用于對各標記序列進行匹配,得到標記序列組;對標記序列組篩選,得到差異片段;獲取標記序列組中的最長公共子序列,得到基礎差異片段,所述基礎差異片段為滿足預設相似度的差異片段;獲取標記序列組中的最小編輯操作序列,定位出差異片段位置;
22、合并模塊,至少用于基于基礎差異片段確定各差異片段間的相似度,基于差異片段位置確定各差異片段間的相鄰度;將標記序列組中滿足預設相似度和預設相鄰度的差異片段進行合并,得到差異區塊;
23、比對模塊,至少用于基于該差異區塊進行代碼比對,生成代碼比對組的差異結果。
24、作為一種可選的實施方式,所述漏洞自動化驗證系統還包括第二驗證模塊;
25、所述第二驗證模塊至少用于查詢漏洞對應的poc;對于已公開poc的漏洞,配置對應的測試環境url和域控制器參數,進行自動化驗證;對于未公開poc的漏洞,基于漏洞特征生成poc腳本,進行基于poc腳本的漏洞自動化驗證。
26、作為一種可選的實施方式,所述漏洞自動化驗證系統還包括檢索模塊,所述檢索模塊用于響應用戶軟件物料清單的錄入動作,并錄制訪問代碼倉庫的登錄會話。
27、本專利技術第三方面提供一種代碼對比方法,包括:
28、獲取并對源代碼和補丁代碼分別進行序列化處理得到源序列和補丁序列;
29、對源序列和補丁序列篩選,得到差異片段;獲取源序列和補丁序列中的最長公共子序列,得到基礎差異片段,所述基礎差異片段為滿足預設相似度的差異片段;獲取源序列和補丁序列中的最小編輯操作序列,定位出差異片段位置;
30、基于基礎差異片段確定各差異片段間的相似度,基于差異片段位置確定各差異片段間的相鄰度;將源序列和補丁序列中滿足預設相似度和預設相鄰度的差異片段進行合并,得到差異區塊;
31、基于該差異區塊進行代碼比對。
32、本專利技術第四方面提供一種代碼對比系統,包括:
33、序列化模塊,至少用于獲取并對源代碼和補丁代碼分別進行序列化處理得到源序列和補丁序列;
34、序列處理模塊,至少用于對源序列和補丁序列篩選,得到差異片段;獲取源序列和補丁序列中的最長公共子序列,得到基礎差異片段,所述基礎差異片段為滿足預設相似度的差異片段;獲取源序列和補丁序列中的最小編輯操作序列,定位出差異片段位置;
35、序列合并模塊,至少用于基于基礎差異片段確定各差異片段間的相似度,基于差異片段位置確定各差異片段間的相鄰度;將源序列和補丁序列中滿足預設相似度和預設相鄰度的差異片段進行合并,得到差異區塊;
36、區塊比對模塊,至少用于基于該差異區塊進行代碼比對。
37、本專利技術第五方面提供一種電子設備,包括:
38、至少一個處理器;以及與所述處理器通信連接的至少一個存儲器,其中:所述存儲器存儲有可被所述處理器執行的程序指令,所述處理器調用所述程序指令能夠執行如本專利技術第一方面或本專利技術第三方面中任一項所述的方法。
39、本專利技術第六方面提供一種計算機可讀存儲介質,其上存儲有計算機程序,所述計算機程序被計算機運行時,執行如本專利技術第一方面或本專利技術第三方面中任一項所述的方法。
40、本專利技術通過對代碼比對組內的代碼進行序列化處理,將代碼轉化為標記序列,提高了對代碼比對的可操作性,通過對標記序列組進行篩選,以及進行差異合并,可以將相鄰且相似的差異片段進行合并,提高了比對結果的可讀性,本本文檔來自技高網...
【技術保護點】
1.一種漏洞自動化驗證方法,其特征在于,包括:
2.根據權利要求1所述的漏洞自動化驗證方法,其特征在于,所述對標記序列組篩選,得到差異片段,包括:
3.根據權利要求1所述的漏洞自動化驗證方法,其特征在于,所述獲取標記序列組中的最小編輯操作序列,定位出差異片段位置,包括:
4.根據權利要求1所述的漏洞自動化驗證方法,其特征在于,還包括:
5.根據權利要求4所述的漏洞自動化驗證方法,其特征在于,在查詢漏洞對應的POC之前,還包括:
6.一種漏洞自動化驗證系統,其特征在于,包括:第一驗證模塊,所述第一驗證模塊包括:
7.根據權利要求6所述的漏洞自動化驗證系統,其特征在于,還包括第二驗證模塊;
8.根據權利要求7所述的漏洞自動化驗證系統,其特征在于,還包括檢索模塊,所述檢索模塊用于響應用戶軟件物料清單的錄入動作,并錄制訪問代碼倉庫的登錄會話。
9.一種代碼對比方法,其特征在于,包括:
10.一種代碼對比系統,其特征在于,包括:
11.一種電子設備,其特征在于,包括:p>
12.一種計算機可讀存儲介質,其特征在于,其上存儲有計算機程序,所述計算機程序被計算機運行時,執行如權利要求1至5或9中任一項所述的方法。
...【技術特征摘要】
1.一種漏洞自動化驗證方法,其特征在于,包括:
2.根據權利要求1所述的漏洞自動化驗證方法,其特征在于,所述對標記序列組篩選,得到差異片段,包括:
3.根據權利要求1所述的漏洞自動化驗證方法,其特征在于,所述獲取標記序列組中的最小編輯操作序列,定位出差異片段位置,包括:
4.根據權利要求1所述的漏洞自動化驗證方法,其特征在于,還包括:
5.根據權利要求4所述的漏洞自動化驗證方法,其特征在于,在查詢漏洞對應的poc之前,還包括:
6.一種漏洞自動化驗證系統,其特征在于,包括:第一驗證模塊,所述第一驗證模塊包括...
【專利技術屬性】
技術研發人員:楊帆,王君鋒,唐潔霏,王博,
申請(專利權)人:零束科技有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。