一种代码安全扫描方法、代码安全扫描系统及存储介质技术方案

一种代码安全扫描方法、代码安全扫描系统及存储介质，代码安全扫描方法包括：依据现有漏洞数据库和漏洞危害程度构建漏洞处理优先级表；检测是否有第三方包上传至Artifactory端；通过代码安全检测工具扫描第三方包中待处理代码漏洞，并获取相应的待处理代码漏洞名称；依据漏洞处理优先级表和待处理代码漏洞名称处理待处理代码漏洞。本发明专利技术实施例的代码安全扫描方法通过构建漏洞处理优先级表，能够知晓不同的待处理代码漏洞的危害程度，从而可以将危害程度高的待处理代码漏洞进行优先处理。通过代码安全检测工具可以主动对上传至Artifactory端的第三方包扫描，从而快速的从源头上检测出漏洞存在，避免危害的进一步扩大。大。大。

【技术实现步骤摘要】
一种代码安全扫描方法、代码安全扫描系统及存储介质


[0001]本专利技术属于信息
，具体涉及一种代码安全扫描方法、代码安全扫描系统及存储介质。

技术介绍

[0002]代码安全扫描是近年被人提及较多的软件应用安全解决方案之一。代码安全扫描指的是通过特定的规则对代码进行安全漏洞检查的一种方法，通过该方法可以发现代码中存在的安全漏洞。
[0003]目前对于代码安全漏洞的处理方法主要是通过对扫描结果进行人工分析，然后进行人工修复。如果直接对漏洞进行修复，可能并不能很好知晓不同漏洞带来的影响，只能按照查找出来的漏洞的先后顺序进行查看和处理，从而导致一些危重漏洞得不到优先处理，进而造成危害进一步扩大。

技术实现思路

[0004]本专利技术旨在至少解决现有技术中存在的技术问题之一。为此，本专利技术提出一种能够根据危害程度的不同处理代码漏洞的代码安全扫描方法。本专利技术还提出了一种代码安全扫描系统和一种用于存储上述代码安全扫描方法的计算机可执行指令的存储介质。
[0005]根据本专利技术第一方面实施例的代码安全扫描方法，包括以下步骤：
[0006]依据现有漏洞数据库和漏洞危害程度构建漏洞处理优先级表；
[0007]检测是否有第三方包上传至Artifactory端；
[0008]通过代码安全检测工具扫描所述第三方包中待处理代码漏洞，并获取相应的待处理代码漏洞名称；
[0009]依据所述漏洞处理优先级表和所述待处理代码漏洞名称处理所述待处理代码漏洞。
[0010]根据本专利技术实施例的代码安全扫描方法，至少具有如下技术效果：通过现有漏洞数据库和漏洞危害程度构建漏洞处理优先级表，可以让代码安全检测工具扫描到待处理代码漏洞之后，能够知晓不同的待处理代码漏洞的危害程度，从而可以将危害程度高的待处理代码漏洞进行优先处理。通过代码安全检测工具可以主动对上传至Artifactory端的第三方包扫描，从而快速的从源头上检测出漏洞存在，避免危害的进一步扩大。
[0011]根据本专利技术的一些实施例，所述代码安全检测工具采用JFrog XRAY组件。
[0012]根据本专利技术的一些实施例，所述漏洞处理优先级表包括多个在库漏洞名称以及与多个所述在库漏洞名称对应的多个优先处理等级；多个所述优先处理等级分别为：高危漏洞、一般漏洞、轻微漏洞。
[0013]根据本专利技术的一些实施例，所述依据所述漏洞处理优先级表和所述待处理代码漏洞名称处理多个所述待处理代码漏洞包括以下步骤：
[0014]依据多个所述待处理代码漏洞名称扫描所述漏洞处理优先级表，并获取与多个所
述待处理代码漏洞名称对应的多个在库漏洞名称；
[0015]获取多个所述在库漏洞名称对应的优先处理等级，生成漏洞待处理文件信息表；
[0016]将所述漏洞待处理文件信息表传输至漏洞处理端。
[0017]根据本专利技术的一些实施例，上述代码安全扫描方法还包括以下步骤:
[0018]依据产品名称与技术责任人信息的对应关系构建通知地址表；
[0019]通过所述JFrog XRAY组件获取所述第三方包的来源，并由该来源获取问题产品信息；
[0020]扫描所述通知地址表中与所述问题产品信息一致的产品名称，如果有，则获取技术责任人信息，并根据所述技术责任人信息通知到对应的漏洞处理端。
[0021]根据本专利技术的一些实施例，上述代码安全扫描方法还包括以下步骤:
[0022]扫描所述通知地址表中与所述问题产品信息一致的产品名称，如果没有，则在所述通知地址表中创建新条目，并通知漏洞综合处理端。
[0023]根据本专利技术第二方面实施例的代码安全扫描系统，包括：
[0024]数据库，其内置有漏洞数据库、以及依据所述漏洞数据库和漏洞危害程度构建的漏洞处理优先级表；
[0025]代码安全检测工具，用于检测上传至Artifactory端中的第三方包中待处理代码漏洞，并获取相应的待处理代码漏洞名称；
[0026]漏洞处理模块，用于依据所述漏洞处理优先级表和所述待处理代码漏洞名称处理所述待处理代码漏洞。
[0027]根据本专利技术实施例的代码安全扫描系统，至少具有如下技术效果：通过现有漏洞数据库和漏洞危害程度构建漏洞处理优先级表，可以让代码安全检测工具扫描到待处理代码漏洞之后，能够知晓不同的待处理代码漏洞的危害程度，从而可以将危害程度高的待处理代码漏洞进行优先处理。通过代码安全检测工具可以主动对上传至Artifactory端的第三方包扫描，从而快速的从源头上检测出漏洞存在，避免危害的进一步扩大。
[0028]根据本专利技术的一些实施例，所述代码安全检测工具采用JFrog XRAY组件。
[0029]根据本专利技术的一些实施例，上述代码安全扫描系统还包括溯源单元和漏洞通知单元；所述数据库中内置有依据产品名称与技术责任人信息的对应关系构建通知地址表；所述溯源单元用于通过所述JFrog XRAY组件获取所述第三方包的来源并由该来源获取问题产品信息；所述漏洞通知单元用于扫描所述通知地址表中与所述问题产品信息一致的产品名称，并根据对应的所述技术责任人信息通知到对应的漏洞处理端。
[0030]根据专利技术第三方面实施例的计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使计算机执行上诉的代码安全扫描方法。
[0031]根据本专利技术实施例的计算机可读存储介质，至少具有如下有益效果：通过存储介质可以便于计算机可执行指令的存储和转移。
[0032]本专利技术的附加方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本专利技术的实践了解到。
附图说明
[0033]本专利技术的上述或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：
[0034]图1是本专利技术实施例的代码安全扫描方法的流程简图；
[0035]图2是本专利技术实施例的代码安全扫描系统的结构框图。
具体实施方式
[0036]下面详细描述本专利技术的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本专利技术，而不能理解为对本专利技术的限制。
[0037]在本专利技术的描述中，如果有描述到第一、第二、第三、第四等等只是用于区分技术特征为目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。
[0038]本专利技术的描述中，除非另有明确的限定，设置、连接等词语应做广义理解，所属
技术人员可以结合技术方案的具体内容合理确定上述词语在本专利技术中的具体含义。
[0039]下面参考图1至图2描述根据本专利技术第一方面实施例的代码安全扫描方法。
[0040]根据本专利技术实施例的代码安全扫描方法，包括以下步骤：
[0041]依据现有漏洞数据库和漏洞危害本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种代码安全扫描方法，其特征在于，包括以下步骤：依据现有漏洞数据库和漏洞危害程度构建漏洞处理优先级表；检测是否有第三方包上传至Artifactory端；通过代码安全检测工具扫描所述第三方包中待处理代码漏洞，并获取相应的待处理代码漏洞名称；依据所述漏洞处理优先级表和所述待处理代码漏洞名称处理所述待处理代码漏洞。2.根据权利要求1所述的代码安全扫描方法，其特征在于，所述代码安全检测工具采用JFrog XRAY组件。3.根据权利要求2所述的代码安全扫描方法，其特征在于，所述漏洞处理优先级表包括多个在库漏洞名称以及与多个所述在库漏洞名称对应的多个优先处理等级；多个所述优先处理等级分别为：高危漏洞、一般漏洞、轻微漏洞。4.根据权利要求3所述的代码安全扫描方法，其特征在于，所述依据所述漏洞处理优先级表和所述待处理代码漏洞名称处理多个所述待处理代码漏洞包括以下步骤：依据多个所述待处理代码漏洞名称扫描所述漏洞处理优先级表，并获取与多个所述待处理代码漏洞名称对应的多个在库漏洞名称；获取多个所述在库漏洞名称对应的优先处理等级，生成漏洞待处理文件信息表；将所述漏洞待处理文件信息表传输至漏洞处理端。5.根据权利要求2所述的代码安全扫描方法，其特征在于，还包括以下步骤:依据产品名称与技术责任人信息的对应关系构建通知地址表；通过所述JFrog XRAY组件获取所述第三方包的来源，并由该来源获取问题产品信息；扫描所述通知地址表中与所述问题产品信息一致的产品名称，如果有，则获取技术...

【专利技术属性】
技术研发人员：赵铭，林圳杰，严志华，
申请(专利权)人：南方电网深圳数字电网研究院有限公司，
类型：发明
国别省市：