【技術實現步驟摘要】
本專利技術涉及安全測試,尤其涉及一種基于靜態安全測試的漏洞驗證方法、系統、設備及介質。
技術介紹
1、在軟件開發過程中,需要對開發的軟件代碼進行安全測試,即針對軟件或應用程序代碼進行一系列測試活動,用于發現和修復潛在的安全漏洞和風險,以確保代碼在運行時不會被惡意利用或遭受攻擊,而靜態安全測試工具在安全測試識別和定位代碼中的潛在安全風險方面扮演著至關重要的角色。
2、傳統的安全測試方法主要是基于傳統檢測工具的安全測試方法,例如采用fortify、checkmarx以及sonarqube等檢測工具進行安全測試,實際使用時,基于傳統檢測工具的安全測試方法無法驗證其所發現的漏洞是否真實存在,即使檢測工具給出了代碼中的漏洞,開發人員也無法確認這些漏洞是否真正對應用程序構成威脅,進而需要花費大量時間和精力去進行人工漏洞驗證,可能導致對代碼進行安全測試時效率較低的問題。
技術實現思路
1、本專利技術提供一種基于靜態安全測試的漏洞驗證方法、系統、設備及介質,其主要目的在于解決相關技術中對代碼進行安全測試時效率較低的問題。
2、為實現上述目的,本專利技術提供的一種基于靜態安全測試的漏洞驗證方法,包括:對預先獲取的安全測試代碼進行靜態漏洞分析,得到可疑漏洞代碼;對可疑漏洞代碼進行漏洞特征提取以及觸發驗證,得到漏洞觸發代碼;利用漏洞觸發代碼對可疑漏洞代碼進行監控執行以及漏洞驗證,得到真實漏洞日志;對真實漏洞日志進行日志解析以及安全分析,得到安全驗證報告。
3、為了解決
4、為了解決上述問題,本專利技術還提供一種電子設備,電子設備包括:
5、至少一個處理器;以及,
6、與至少一個處理器通信連接的存儲器;其中,
7、存儲器存儲有可被至少一個處理器執行的計算機程序,計算機程序被至少一個處理器執行,以使至少一個處理器能夠執行上述的基于靜態安全測試的漏洞驗證方法。
8、為了解決上述問題,本專利技術還提供一種計算機可讀存儲介質,存儲有計算機程序,計算機程序被處理器執行時實現上述的基于靜態安全測試的漏洞驗證方法。
9、本專利技術實施例通過進行靜態漏洞分析,能夠識別并標注出可疑漏洞代碼,實現對安全測試的初級漏洞檢測,提高了安全測試的效率,通過進行漏洞特征提取以及觸發驗證,能夠根據不同的漏洞代碼的漏洞特征生成對應的觸發漏洞的代碼,方便后續實現針對性的漏洞安全性測試,通過進行模擬執行以及行為監控,能夠對可能出現漏洞的代碼進行針對性的漏洞觸發測試以及測試結果記錄,并利用測試結果實現了對漏洞代碼的真實性驗證,從而提高安全測試中漏洞驗證的準確性,通過進行日志解析以及安全分析,能夠提供針對真實漏洞代碼的安全測試的完整流程介紹以及對應的漏洞原理和信息的介紹,提高安全驗證的直觀度。因此本專利技術提出的基于靜態安全測試的漏洞驗證方法、系統、設備及介質,可以解決對代碼進行安全測試時效率較低的問題。
本文檔來自技高網...【技術保護點】
1.一種基于靜態安全測試的漏洞驗證方法,其特征在于,所述方法包括:
2.如權利要求1所述的基于靜態安全測試的漏洞驗證方法,其特征在于,所述對預先獲取的安全測試代碼進行靜態漏洞分析,得到可疑漏洞代碼,包括:
3.如權利要求2所述的基于靜態安全測試的漏洞驗證方法,其特征在于,所述根據所述代碼語法樹對所述安全測試代碼進行語義漏洞分析,得到語義漏洞代碼,包括:
4.如權利要求2所述的基于靜態安全測試的漏洞驗證方法,其特征在于,所述根據所述代碼語法樹對所述安全測試代碼進行靜態漏洞掃描,得到靜態漏洞代碼,包括:
5.如權利要求1所述的基于靜態安全測試的漏洞驗證方法,其特征在于,所述對所述可疑漏洞代碼進行漏洞特征提取以及觸發驗證,得到漏洞觸發代碼,包括:
6.如權利要求5所述的基于靜態安全測試的漏洞驗證方法,其特征在于,所述對所述可疑漏洞代碼進行輸入特征檢測,得到漏洞輸入特征,包括:
7.如權利要求1所述的基于靜態安全測試的漏洞驗證方法,其特征在于,所述利用所述漏洞觸發代碼對所述可疑漏洞代碼進行監控執行以及漏洞驗證,得到真
8.如權利要求7所述的基于靜態安全測試的漏洞驗證方法,其特征在于,所述根據所述漏洞觸發代碼對所述部署環境沙盒進行觸發執行以及行為監控,得到執行結果,包括:
9.如權利要求1所述的基于靜態安全測試的漏洞驗證方法,其特征在于,所述對所述真實漏洞日志進行日志解析以及安全分析,得到安全驗證報告,包括:
10.一種基于靜態安全測試的漏洞驗證系統,其特征在于,所述系統包括:
11.一種電子設備,其特征在于,所述電子設備包括:
12.一種計算機可讀存儲介質,存儲有計算機程序,其特征在于,所述計算機程序被處理器執行時實現如權利要求1至9中任意一項所述的基于靜態安全測試的漏洞驗證方法。
...【技術特征摘要】
1.一種基于靜態安全測試的漏洞驗證方法,其特征在于,所述方法包括:
2.如權利要求1所述的基于靜態安全測試的漏洞驗證方法,其特征在于,所述對預先獲取的安全測試代碼進行靜態漏洞分析,得到可疑漏洞代碼,包括:
3.如權利要求2所述的基于靜態安全測試的漏洞驗證方法,其特征在于,所述根據所述代碼語法樹對所述安全測試代碼進行語義漏洞分析,得到語義漏洞代碼,包括:
4.如權利要求2所述的基于靜態安全測試的漏洞驗證方法,其特征在于,所述根據所述代碼語法樹對所述安全測試代碼進行靜態漏洞掃描,得到靜態漏洞代碼,包括:
5.如權利要求1所述的基于靜態安全測試的漏洞驗證方法,其特征在于,所述對所述可疑漏洞代碼進行漏洞特征提取以及觸發驗證,得到漏洞觸發代碼,包括:
6.如權利要求5所述的基于靜態安全測試的漏洞驗證方法,其特征在于,所述對所述可疑漏洞代碼進行輸入特征檢測,得到漏洞...
【專利技術屬性】
技術研發人員:高超,萬振華,王頡,徐瑞祝,
申請(專利權)人:揚州數安技術有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。