代码检测方法、装置及电子设备制造方法及图纸

本发明专利技术公开一种代码检测方法、装置及电子设备，其中，该方法包括：调用代码安全检测工具扫描代码漏洞；通过该代码安全检测工具获取扫描到的代码漏洞的漏洞名称；查找该漏洞名称对应的指定漏洞名称；其中，该指定漏洞名称包括多种代码安全检测工具对相同代码漏洞的不同命名；根据该指定漏洞名称更新漏洞结果表。通过本发明专利技术解决了现有技术中多款代码安全检测工具对同一款软件进行扫描检测时，对漏洞描述不统一，导致增加工作量的问题，实现了去除不同代码安全检测工具扫描结果中的重复信息，减少了大量人工审计工作量。

Code detection method, device and electronic equipment

The invention discloses a code detection method, device and electronic device, wherein, the method comprises: the calling code security detection tools scan code vulnerabilities; get to scan through the code security testing tools code vulnerabilities vulnerabilities vulnerability to find the specified name; the corresponding bug name name; the name of the specified code includes a variety of vulnerabilities safety of different inspection tools on the same naming code vulnerabilities; according to the specified name update vulnerability vulnerability results. The invention solves a variety of code security in the existing technology detection tool of scanning the same software, the vulnerability description is not uniform, resulting in the increase of the workload, the repeated information removal of different code security detection tool scanning results, reducing the amount of manual audit work.

【技术实现步骤摘要】

本专利技术涉及代码检测
，具体涉及一种代码检测方法、装置及电子设备。
技术介绍
在进行代码安全检测平台开发时，通常会集成多款源代码检测工具对被检测代码进行扫描，通过对每款源代码检测工具的检测结果进行解析，可以提取出其中的漏洞信息。由于工具检测存在误报及漏报问题，代码审计人员需要对所有检测结果进行审计，确认其中的真实漏洞及误报。对审计后确认真实存在的漏洞，代码安全检测平台会自动分析所有被确认漏洞，统计漏洞总数及漏洞类型分布等信息。现有方案单独分析每款源代码检测工具扫描结果，实际应用时可能存在以下问题：(1)多款工具对同一款软件进行扫描时，可能存在结果重复，同一行代码片段中存在的某种漏洞，同时被多款工具扫描出的情况下，如果没有对结果进行去重处理，代码审计人员需要对同一条扫描结果进行多次漏洞确认，增加了很多工作量。(2)代码安全检测平台在统计漏洞数据时，会将不同工具检测出的相同漏洞进行重复统计，且由不同工具检测出的相同漏洞，漏洞名称会存在差异，统计漏洞类别时，会存在将统一漏洞当成多种不同漏洞的情况。(3)由于多款工具风格甚至语言都不同，漏洞描述难以统一。(4)代码扫描工具的检测结果中，可能存在大量实际审计中并不关注的安全问题，单独解析扫描结果文件，很难筛选出需要进行人工审计的漏洞。
技术实现思路
有鉴于此，本专利技术实施例提供了一种代码检测方法、装置及电子设备，以解决现有技术中多款代码安全检测工具对同一款软件进行扫描检测时，对漏洞描述不统一，导致增加工作量的问题。根据第一方面，本专利技术实施例提供了一种代码检测方法，应用于通用计算机，包括：调用代码安全检测工具扫描代码漏洞；通过所述代码安全检测工具获取扫描到的代码漏洞的漏洞名称；查找所述漏洞名称对应的指定漏洞名称；其中，所述指定漏洞名称包括多种代码安全检测工具对相同代码漏洞的不同命名；根据所述指定漏洞名称更新漏洞结果表。可选地，根据所述指定漏洞名称更新漏洞结果表包括：查找所述漏洞结果表中是否存储有所述指定漏洞名称；当所述漏洞结果表中未存储所述指定漏洞名称时，将漏洞信息存储至所述漏洞结果表中；其中，所述漏洞信息包括所述指定漏洞名称、所述代码漏洞的漏洞位置信息以及所调用的代码安全检测工具的名称。可选地，根据所述指定漏洞名称更新漏洞结果表，还包括：当所述漏洞结果表中存储有所述指定漏洞名称时，在所述漏洞结果表中查找与所述指定漏洞名称对应的漏洞位置信息；判断与所述指定漏洞名称对应的漏洞位置信息是否与所述漏洞名称对应的漏洞位置信息相同；与所述指定漏洞名称对应的漏洞位置信息与所述漏洞名称对应的漏洞位置信息不相同时，将所述漏洞信息存储至所述漏洞结果表中；与所述指定漏洞名称对应的漏洞位置信息与所述漏洞名称对应的漏洞位置信息相同时，将所调用的代码安全检测工具的名称存储至所述漏洞结果表中与所述指定漏洞名称对应的位置。可选地，通过所述代码安全检测工具获取扫描到的代码漏洞的漏洞名称之后，还包括：判断所述漏洞名称对应的风险级别是否大于预定级别；当所述风险级别大于所述预定级别时，执行查找所述漏洞名称对应的指定漏洞名称的步骤。可选地，所述漏洞结果表中存储有与所述指定漏洞名称对应的修复建议。根据第二方面，本专利技术实施例提供了一种代码检测装置，包括：调用模块，用于调用代码安全检测工具扫描代码漏洞；获取模块，用于通过所述代码安全检测工具获取扫描到的代码漏洞的漏洞名称；查找模块，用于查找所述漏洞名称对应的指定漏洞名称；其中，所述指定漏洞名称包括多种代码安全检测工具对相同代码漏洞的不同命名；更新模块，用于根据所述指定漏洞名称更新漏洞结果表。可选地，所述更新模块包括：第一查找单元，用于查找所述漏洞结果表中是否存储有所述指定漏洞名称；第一存储单元，用于当所述漏洞结果表中未存储所述指定漏洞名称时，将漏洞信息存储至所述漏洞结果表中；其中，所述漏洞信息包括所述指定漏洞名称、所述代码漏洞的漏洞位置信息以及所调用的代码安全检测工具的名称。可选地，所述更新模块还包括：第二查找单元，用于当所述漏洞结果表中存储有所述指定漏洞名称时，在所述漏洞结果表中查找与所述指定漏洞名称对应的漏洞位置信息；判断单元，用于判断与所述指定漏洞名称对应的漏洞位置信息是否与所述漏洞名称对应的漏洞位置信息相同；第二存储单元，用于与所述指定漏洞名称对应的漏洞位置信息与所述漏洞名称对应的漏洞位置信息不相同时，将所述漏洞信息存储至所述漏洞结果表中；与所述指定漏洞名称对应的漏洞位置信息与所述漏洞名称对应的漏洞位置信息相同时，将所调用的代码安全检测工具的名称存储至所述漏洞结果表中与所述指定漏洞名称对应的位置。可选地，所述装置还包括：判断模块，用于判断所述漏洞名称对应的风险级别是否大于预定级别；执行模块，用于当所述风险级别大于所述预定级别时，执行查找所述漏洞名称对应的指定漏洞名称的步骤。可选地，所述漏洞结果表中存储有与所述指定漏洞名称对应的修复建议。根据第三方面，本专利技术实施例提供了一种电子设备，包括：至少一个处理器；以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器执行第一方面或者第一方面的任意一种可选方式中所述的代码检测方法。根据第四方面，本专利技术实施例提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行第一方面或者第一方面的任意一种可选方式中所述的代码检测方法。根据第五方面，本专利技术实施例提供了一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行第一方面或者第一方面的任意一种可选方式中所述的代码检测方法。本专利技术实施例所提供的代码检测方法，调用代码安全检测工具扫描代码漏洞；通过代码安全检测工具获取扫描到的代码漏洞的漏洞名称；查找该漏洞名称对应的指定漏洞名称；其中，指定漏洞名称包括多种代码安全检测工具对相同代码漏洞的不同命名；根据指定漏洞名称更新漏洞结果表。在现有技术中代码安全检测工具对同一款软件进行扫描会得到各自不同的检测结果，由于各个代码安全检测工具对同一漏洞可能有不同的命名，会出现将同一漏洞当作不同漏洞的情况，如果没有对结果进行去重处理，代码审计人员需要对同一条扫描结果进行多次漏洞确认，增加了很多工作量，通过本专利技术实施例将扫描到的代码漏洞的漏洞名称对应到指定漏洞名称，将漏洞名称规范化，解决了现有技术中多款代码安全检测工具对同一款软件进行扫描检测时，对漏洞描述不统一，导致增加工作量的问题，实现了去除不同代码安全检测工具扫描结果中的重复信息，每种漏洞详情及修复方法也进行了统一，减少了大量人工审计工作量。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是根据本专利技术实施例的代码检测方法的流程图；图2是根据本专利技术实施例的代码检测装置的一个结构框图；图3是根据本专利技术实施例本文档来自技高网...

【技术保护点】
一种代码检测方法，其特征在于，包括：调用代码安全检测工具扫描代码漏洞；通过所述代码安全检测工具获取扫描到的代码漏洞的漏洞名称；查找所述漏洞名称对应的指定漏洞名称；其中，所述指定漏洞名称包括多种代码安全检测工具对相同代码漏洞的不同命名；根据所述指定漏洞名称更新漏洞结果表。

【技术特征摘要】
1.一种代码检测方法，其特征在于，包括：调用代码安全检测工具扫描代码漏洞；通过所述代码安全检测工具获取扫描到的代码漏洞的漏洞名称；查找所述漏洞名称对应的指定漏洞名称；其中，所述指定漏洞名称包括多种代码安全检测工具对相同代码漏洞的不同命名；根据所述指定漏洞名称更新漏洞结果表。2.根据权利要求1所述的方法，其特征在于，根据所述指定漏洞名称更新漏洞结果表包括：查找所述漏洞结果表中是否存储有所述指定漏洞名称；当所述漏洞结果表中未存储所述指定漏洞名称时，将漏洞信息存储至所述漏洞结果表中；其中，所述漏洞信息包括所述指定漏洞名称、所述代码漏洞的漏洞位置信息以及所调用的代码安全检测工具的名称。3.根据权利要求2所述的方法，其特征在于，根据所述指定漏洞名称更新漏洞结果表，还包括：当所述漏洞结果表中存储有所述指定漏洞名称时，在所述漏洞结果表中查找与所述指定漏洞名称对应的漏洞位置信息；判断与所述指定漏洞名称对应的漏洞位置信息是否与所述漏洞名称对应的漏洞位置信息相同；与所述指定漏洞名称对应的漏洞位置信息与所述漏洞名称对应的漏洞位置信息不相同时，将所述漏洞信息存储至所述漏洞结果表中；与所述指定漏洞名称对应的漏洞位置信息与所述漏洞名称对应的漏洞位置信息相同时，将所调用的代码安全检测工具的名称存储至所述漏洞结果表中与所述指定漏洞名称对应的位置。4.根据权利要求1所述的方法，其特征在于，通过所述代码安全检测工具获取扫描到的代码漏洞的漏洞名称之后，还包括：判断所述漏洞名称对应的风险级别是否大于预定级别；当所述风险级别大于所述预定级别时，执行查找所述漏洞名称对应的指定漏洞名称的步骤。5.根据权利要求1至4中任一所述的方法，其特征在于，所述漏洞结果表中存储有与所述指定漏洞名称对应的修复建议。6.一种代码检测装置，其特征在于，包括：调用模块，用于调用代码安全检测工具扫描代码漏洞；获取模块，用于通过所述代码安全检测工具获取扫描到的代码漏洞的漏洞名称；查...

【专利技术属性】
技术研发人员：王一岚，
申请(专利权)人：乐视控股北京有限公司，乐视电子商务北京有限公司，
类型：发明
国别省市：北京;11