【技术实现步骤摘要】
基于DevSecOps平台的安全测试方法及系统
本专利技术涉及软件全生命周期安全开发测试
,尤其涉及一种基于DevSecOps平台的安全测试方法及系统。
技术介绍
信息技术的发展,使得软件规模越来越大,传统的“软件作坊”式生产往往依赖于人们急于创造财富的激动情绪,生产处于无序、混沌的一种状态,软件产品的质量不能保证,甚至中途撤消软件项目,这种生产方式已不能满足日益增长的软件需求。软件行业日益清晰地认识到:为了按时交付软件产品和服务,开发和运维工作必须紧密合作,因此,出现了DevOps软件开发平台,DevOps(Development和Operations的组合词)是一组过程、方法与系统的统称,用于促进开发(应用程序/软件工程)、技术运营和质量保障(QA)部门之间的沟通、协作与整合,它是一种重视“用户(Dev)”和“IT运维技术人员(Ops)”之间沟通合作的文化、运动或惯例。透过自动化“软件交付”和“架构变更”的流程,来使得构建、测试、发布软件能够更加地快捷、频繁和可靠。传统的DevOps流程不关注安全测试部分,...
【技术保护点】
1.一种基于DevSecOps平台的安全测试方法,其特征在于,所述DevSecOps平台上集成有若干基于容器运行的安全测试工具和自动化安装部署工具;所述DevSecOps平台提供一可视化的、自定义的编辑系统,所述编辑系统提供与DevSecOps流程中测试相关的所有开发环节的展示和编辑;所述安全测试方法包括:/n基于应用项目的特点,通过所述编辑系统对所述开发环节进行测试流程的自定义编辑,以形成安全测试流水线,所述测试流程包括所述安全测试工具的选取、测试步骤的执行顺序以及触发方式的选择;/n解析所述安全测试流水线的配置要求,并基于所述自动化安装部署工具将解析出来的所述配置要求自...
【技术特征摘要】
1.一种基于DevSecOps平台的安全测试方法,其特征在于,所述DevSecOps平台上集成有若干基于容器运行的安全测试工具和自动化安装部署工具;所述DevSecOps平台提供一可视化的、自定义的编辑系统,所述编辑系统提供与DevSecOps流程中测试相关的所有开发环节的展示和编辑;所述安全测试方法包括:
基于应用项目的特点,通过所述编辑系统对所述开发环节进行测试流程的自定义编辑,以形成安全测试流水线,所述测试流程包括所述安全测试工具的选取、测试步骤的执行顺序以及触发方式的选择;
解析所述安全测试流水线的配置要求,并基于所述自动化安装部署工具将解析出来的所述配置要求自动化部署到DevSecOps平台的安全测试服务程序中;
当满足所述触发方式时,所述DevSecOps平台以所述安全测试流水线自动对所述应用项目进行测试。
2.根据权利要求1所述的基于DevSecOps平台的安全测试方法,其特征在于,所述安全测试方法还包括:
DevSecOps平台可根据所述应用项目的基本信息在所述编辑系统中自动推荐出相匹配的所述安全测试流水线,并可对推荐出的所述安全测试流水线进行自定义编辑。
3.根据权利要求1所述的基于DevSecOps平台的安全测试方法,其特征在于,所述安全测试工具包括交互式安全测试工具、动态安全测试工具、静态安全测试工具、软件成分分析测试工具以及应用程序接口模糊测试工具中的至少两个。
4.根据权利要求1所述的基于DevSecOps平台的安全测试方法,其特征在于,所述编辑系统中提供的与DevSecOps流程中测试相关的开发环节包括构建触发环节、构建环节、测试环节、制品存档环节和部署环节;
对于所述构建触发环节,支持用户自定义测试程序启动的触发方式;
对于所述构建环节,支持用户自由选择代码仓库的来源、编译工具以及安全测试工具,同时支持用户自由选择是否在此阶段进行安全测试;
对于所述测试环节,支持用户自由选择安全测试工具以及测试步骤的执行顺序;
对于所述制品存档环节,支持用户自由选择是否进行安全测试以及所述安全测试工具的选择;
对于所述部署环节,支持用户自由选择安全部署和测试步骤的执行顺序以及所述安全测试工具的选择。
5.一种基于DevSecOps平台的安全测试系统,其特征在于,所述DevSecOps平台上集成有若干基于容器运行的安全测试工具和自动化安装部署工具,所述DevSecOps平台上还设置有解析模块、部署模块以及...
【专利技术属性】
技术研发人员:潘志祥,万振华,王颉,董燕,李华,
申请(专利权)人:深圳开源互联网安全技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。