本发明专利技术公开了一种云上函数权限检测并修复方法、装置、存储介质及终端,所述方法包括:获取待分析函数集合中各函数对应的实际权限;获取待分析函数集合中各函数对应的预设权限;当所述预设权限大于所述实际权限时,基于所述实际权限修改所述预设权限,生成修改后的权限;将所述修改后的权限确定为所述待分析函数集合中各函数最终权限。因此,采用本申请实施例,可以修复云上函数权限范围来保障系统的安全。
A method, device, storage medium and terminal to detect and repair the function permission on cloud
【技术实现步骤摘要】
一种云上函数权限检测并修复方法、装置、存储介质及终端
本专利技术涉及计算机
,特别涉及一种云上函数权限检测并修复方法、装置、存储介质及终端。
技术介绍
随着云计算的飞速发展,利用云服务搭建业务系统已经成为了趋势,云服务提供商为租户提供计算、存储、网络、应用服务等基础资源。函数计算是云服务一项基于事件驱动的托管计算服务,使用函数计算,云服务的用户只需编写业务逻辑代码并设置相应的运行条件,无需配置和管理服务器等基础设施。当运行条件被触发是,由云平台运行相应的函数。在完整的业务应用中,函数会根据业务需求,访问云数据库、对象存储、中间件等其它云服务。此时需要通过创建委托的方式,赋予函数访问其它服务的权限。如果授予函数的权限过大,使得该函数可以访问不必要的资源或对资源进行不必要的操作,就违背了“最小权限”的原则。目前,在云上函数权限检测并修复方案中,Netflix(网飞公司)针对AWS(亚马逊云)发布过两个工具,分别是Repokid和Aardvark。它们的用途是简化针对AWSIAM角色实现最小权限的流程。它们会主动监控特定IAM角色使用的AWS服务,并通过移除未使用服务的访问权来削减权限。但是由于其涉及到的颗粒度非常宽泛且针对于服务级别的最小权限检测,没有细化到服务下面资源的相应操作,也没有针对赋予AWSLambda函数调用其他服务的权限进行检测,从而导致函数被攻击者利用,给系统带来安全威胁。
技术实现思路
本申请实施例提供了一种云上函数权限检测并修复方法、装置、存储介质及终端。为了对披露的实施例的一些方面有一个基本的理解,下面给出了简单的概括。该概括部分不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念,以此作为后面的详细说明的序言。第一方面,本申请实施例提供了一种云上函数权限检测并修复方法,所述方法包括:获取待分析函数集合中各函数对应的预设权限;当所述预设权限大于所述实际权限时,基于所述实际权限修改所述预设权限,生成修改后的权限;将所述修改后的权限确定为所述待分析函数集合中各函数最终权限。可选的,所述基于所述实际权限修改所述预设权限,生成修改后的权限,包括:获取所述实际权限对应的第一策略数据;获取所述预设权限对应的第二策略数据;将所述第二策略数据修改成所述第一策略数据,生成修改后的策略数据;将所述修改后的策略数据对应的权限确定为修改后的权限。可选的,所述获取待分析函数集合中各函数对应的实际权限,包括:获取待分析函数集合;获取预设特征库;获取所述待分析函数集合中各函数对应的源代码;采集所述源代码中的特征,生成所述源代码对应的特征集合;基于所述源代码对应的特征集合和预设特征库生成所述源代码对应的权限,将所述源代码对应的权限作为待分析函数集合中各函数对应的实际权限。可选的,所述获取预设特征库,包括:获取目标云服务对应的服务集合;将所述服务集合中各服务进行特征分析生成所述各服务对应的特征集合;将所述各服务对应的特征集合进行归类后保存至预设特征库中,生成所述目标云服务对应的特征库,将所述目标云服务对应的特征库作为预设特征库。可选的,所述将所述修改后的权限确定为所述待分析函数集合中各函数最终权限之后,还包括:当接收到到权限修改成功指令时,生成权限修改信息发送至客户端进行显示。可选的,所述采集所述源代码中的特征,生成所述源代码对应的特征集合,包括:将所述源代码进行代码静态扫描和环境变量扫描,生成所述源代码对应的特征集合。第二方面,本申请实施例提供了一种云上函数权限检测并修复装置,所述装置包括:第一权限获取模块,用于获取待分析函数集合中各函数对应的实际权限;第二权限获取模块,用于获取待分析函数集合中各函数对应的预设权限;权限生成模块,用于当所述预设权限大于所述实际权限时,基于所述实际权限修改所述预设权限,生成修改后的权限;权限确定模块,用于将所述修改后的权限确定为所述待分析函数集合中各函数最终权限。可选的,所述权限生成模块,包括:第一数据获取单元,用于获取所述实际权限对应的第一策略数据;第二数据获取单元,用于获取所述预设权限对应的第二策略数据;数据生成单元,用于将所述第二策略数据修改成所述第一策略数据,生成修改后的策略数据;权限确定单元,用于将所述修改后的策略数据对应的权限确定为修改后的权限。可选的,所述第一权限获取模块,包括:集合获取单元,用于获取待分析函数集合;特征库获取单元,用于获取预设特征库;源代码获取单元,用于获取所述待分析函数集合中各函数对应的源代码;集合生成单元,采集所述源代码中的特征,生成所述源代码对应的特征集合;权限生成单元,用于基于所述源代码对应的特征集合和预设特征库生成所述源代码对应的权限,将所述源代码对应的权限作为待分析函数集合中各函数对应的实际权限。可选的,所述特征库获取单元,包括:集合获取子单元,用于获取目标云服务对应的服务集合;集合生成子单元,用于将所述服务集合中各服务进行特征分析生成所述各服务对应的特征集合;特征库生成子单元,用于将所述各服务对应的特征集合进行归类后保存至预设特征库中,生成所述目标云服务对应的特征库,将所述目标云服务对应的特征库作为预设特征库。可选的,所述装置还包括:信息发送模块,用于当接收到权限修改成功指令时,生成权限修改信息发送至客户端进行显示。可选的,所述集合生成单元,具体用于:将所述源代码进行代码静态扫描和环境变量扫描,生成所述源代码对应的特征集合第三方面,本申请实施例提供一种计算机存储介质,所述计算机存储介质存储有多条指令,所述指令适于由处理器加载并执行上述的方法步骤。第四方面,本申请实施例提供一种终端,可包括:处理器和存储器;其中,所述存储器存储有计算机程序,所述计算机程序适于由所述处理器加载并执行上述的方法步骤。本申请实施例提供的技术方案可以包括以下有益效果:在本申请实施例中,用户终端首先获取待分析函数集合中各函数对应的实际权限,再获取待分析函数集合中各函数对应的预设权限,然后当所述预设权限大于所述实际权限时,基于所述实际权限修改所述预设权限,生成修改后的权限,最后将所述修改后的权限确定为所述待分析函数集合中各函数最终权限。由于本方案基于SDK(软件开发工具包)和API(应用程序接口)的特征,采用代码静态分析、环境变量分析和权限策略分析相结合的技术手段,自动化地检测赋予函数计算服务中的某个函数是否拥有调用其他服务的最小权限。如果不是最小权限,则根据其调用的具体服务,自动修复权限过大的问题来保障系统的安全。应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本专利技术。附图说明<本文档来自技高网...
【技术保护点】
1.一种云上函数权限检测并修复方法,其特征在于,所述方法包括:/n获取待分析函数集合中各函数对应的实际权限;/n获取待分析函数集合中各函数对应的预设权限;/n当所述预设权限大于所述实际权限时,基于所述实际权限修改所述预设权限,生成修改后的权限;/n将所述修改后的权限确定为所述待分析函数集合中各函数最终权限。/n
【技术特征摘要】
1.一种云上函数权限检测并修复方法,其特征在于,所述方法包括:
获取待分析函数集合中各函数对应的实际权限;
获取待分析函数集合中各函数对应的预设权限;
当所述预设权限大于所述实际权限时,基于所述实际权限修改所述预设权限,生成修改后的权限;
将所述修改后的权限确定为所述待分析函数集合中各函数最终权限。
2.根据权利要求1所述的方法,其特征在于,所述基于所述实际权限修改所述预设权限,生成修改后的权限,包括:
获取所述实际权限对应的第一策略数据;
获取所述预设权限对应的第二策略数据;
将所述第二策略数据修改成所述第一策略数据,生成修改后的策略数据;
将所述修改后的策略数据对应的权限确定为修改后的权限。
3.根据权利要求1所述的方法,其特征在于,所述获取待分析函数集合中各函数对应的实际权限,包括:
获取待分析函数集合;
获取预设特征库;
获取所述待分析函数集合中各函数对应的源代码;
采集所述源代码中的特征,生成所述源代码对应的特征集合;
基于所述源代码对应的特征集合和预设特征库生成所述源代码对应的实际权限。
4.根据权利要求2所述的方法,其特征在于,所述获取预设特征库,包括:
获取目标云服务对应的服务集合;
将所述服务集合中各服务进行特征分析生成所述各服务对应的特征集合;
将所述各服务对应的特征集合进行归类后保存至预设特征库中,生成所述目标云服务对应的特征库,将所述目标云服务对应的特征库作为预设特征库。
5.根据权利要求1所述的方法,其特征在于,所述将所述修改后的权限确定为所述待分析函数集合中各函数最终权限之后,还包括:
当接收到到权限修改成功指令时,生成权限修改信息发送至客户端进行显示。
6.根据权利要求2所述的方法,其特征在于,所述采集所述源代码中的特征,生成所述源代码对应的特征集合,包括:
将所述源代码进行代码静态扫描和环境变量扫描,生成所述源代码对应的特征集合。
7.一种云上函数权限检测并修复装置,其特征在于,所述装置包括:
第一权限获取模块,用于获取待分析函数集合中各函数对应的实际权限;
第二权限获取模块,用于获取待分析函数集合中各函数对应的预设权限;
权限生成模块,用于当所述预设权限大...
【专利技术属性】
技术研发人员:李震宇,李克勤,
申请(专利权)人:浙江省北大信息技术高等研究院,杭州未名信科科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。