The invention discloses a code detection method, device and electronic device, wherein, the method comprises: the calling code security detection tools scan code vulnerabilities; get to scan through the code security testing tools code vulnerabilities vulnerabilities vulnerability to find the specified name; the corresponding bug name name; the name of the specified code includes a variety of vulnerabilities safety of different inspection tools on the same naming code vulnerabilities; according to the specified name update vulnerability vulnerability results. The invention solves a variety of code security in the existing technology detection tool of scanning the same software, the vulnerability description is not uniform, resulting in the increase of the workload, the repeated information removal of different code security detection tool scanning results, reducing the amount of manual audit work.
【技术实现步骤摘要】
本专利技术涉及代码检测
,具体涉及一种代码检测方法、装置及电子设备。
技术介绍
在进行代码安全检测平台开发时,通常会集成多款源代码检测工具对被检测代码进行扫描,通过对每款源代码检测工具的检测结果进行解析,可以提取出其中的漏洞信息。由于工具检测存在误报及漏报问题,代码审计人员需要对所有检测结果进行审计,确认其中的真实漏洞及误报。对审计后确认真实存在的漏洞,代码安全检测平台会自动分析所有被确认漏洞,统计漏洞总数及漏洞类型分布等信息。现有方案单独分析每款源代码检测工具扫描结果,实际应用时可能存在以下问题:(1)多款工具对同一款软件进行扫描时,可能存在结果重复,同一行代码片段中存在的某种漏洞,同时被多款工具扫描出的情况下,如果没有对结果进行去重处理,代码审计人员需要对同一条扫描结果进行多次漏洞确认,增加了很多工作量。(2)代码安全检测平台在统计漏洞数据时,会将不同工具检测出的相同漏洞进行重复统计,且由不同工具检测出的相同漏洞,漏洞名称会存在差异,统计漏洞类别时,会存在将统一漏洞当成多种不同漏洞的情况。(3)由于多款工具风格甚至语言都不同,漏洞描述难以统一。(4)代码扫描工具的检测结果中,可能存在大量实际审计中并不关注的安全问题,单独解析扫描结果文件,很难筛选出需要进行人工审计的漏洞。
技术实现思路
有鉴于此,本专利技术实施例提供了一种代码检测方法、装置及电子设备,以解决现有技术中多款代码安全检测工具对同一款软件进行扫描检测时,对漏洞描述不统一,导致增加工作量的问题。根据第一方面,本专利技术实施例提供了一种代码检测方法,应用于通用计算机,包括:调用代码安全检测工 ...
【技术保护点】
一种代码检测方法,其特征在于,包括:调用代码安全检测工具扫描代码漏洞;通过所述代码安全检测工具获取扫描到的代码漏洞的漏洞名称;查找所述漏洞名称对应的指定漏洞名称;其中,所述指定漏洞名称包括多种代码安全检测工具对相同代码漏洞的不同命名;根据所述指定漏洞名称更新漏洞结果表。
【技术特征摘要】
1.一种代码检测方法,其特征在于,包括:调用代码安全检测工具扫描代码漏洞;通过所述代码安全检测工具获取扫描到的代码漏洞的漏洞名称;查找所述漏洞名称对应的指定漏洞名称;其中,所述指定漏洞名称包括多种代码安全检测工具对相同代码漏洞的不同命名;根据所述指定漏洞名称更新漏洞结果表。2.根据权利要求1所述的方法,其特征在于,根据所述指定漏洞名称更新漏洞结果表包括:查找所述漏洞结果表中是否存储有所述指定漏洞名称;当所述漏洞结果表中未存储所述指定漏洞名称时,将漏洞信息存储至所述漏洞结果表中;其中,所述漏洞信息包括所述指定漏洞名称、所述代码漏洞的漏洞位置信息以及所调用的代码安全检测工具的名称。3.根据权利要求2所述的方法,其特征在于,根据所述指定漏洞名称更新漏洞结果表,还包括:当所述漏洞结果表中存储有所述指定漏洞名称时,在所述漏洞结果表中查找与所述指定漏洞名称对应的漏洞位置信息;判断与所述指定漏洞名称对应的漏洞位置信息是否与所述漏洞名称对应的漏洞位置信息相同;与所述指定漏洞名称对应的漏洞位置信息与所述漏洞名称对应的漏洞位置信息不相同时,将所述漏洞信息存储至所述漏洞结果表中;与所述指定漏洞名称对应的漏洞位置信息与所述漏洞名称对应的漏洞位置信息相同时,将所调用的代码安全检测工具的名称存储至所述漏洞结果表中与所述指定漏洞名称对应的位置。4.根据权利要求1所述的方法,其特征在于,通过所述代码安全检测工具获取扫描到的代码漏洞的漏洞名称之后,还包括:判断所述漏洞名称对应的风险级别是否大于预定级别;当所述风险级别大于所述预定级别时,执行查找所述漏洞名称对应的指定漏洞名称的步骤。5.根据权利要求1至4中任一所述的方法,其特征在于,所述漏洞结果表中存储有与所述指定漏洞名称对应的修复建议。6.一种代码检测装置,其特征在于,包括:调用模块,用于调用代码安全检测工具扫描代码漏洞;获取模块,用于通过所述代码安全检测工具获取扫描到的代码漏洞的漏洞名称;查...
【专利技术属性】
技术研发人员:王一岚,
申请(专利权)人:乐视控股北京有限公司,乐视电子商务北京有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。