一种动静态结合的安全测试流水线系统技术方案

本申请公开了一种动静态结合的安全测试流水线系统，该系统属于计算机领域。为解决安全漏洞导致信息系统安全风险和隐患，可能引发严重的信息安全事件的情况，提出了一种动静态结合的安全测试流水线系统，包括：目标系统接入、代码持续集成、测试规则配置、运行代码安全测试、源代码安全测试、项目管理集成。本发明专利技术提出的动静态结合的安全测试流水线系统具有灵活性高，扩展性好，准确率高等特点，能够支持对不同架构、不同认证方式、不同开发语言的各类信息系统。将安全测试流程和软件构建部署运维一体化流程无缝集成，通过管理平台对安全测试结果进行统一管理和报表展示，并引入项目管理系统对安全漏洞进行开发回归和管理闭环，在安全漏洞对信息系统造成不可挽回的破坏前，发现安全漏洞、剖析安全漏洞、形成安全漏洞解决方案，最大化地减轻安全漏洞对信息系统的威胁。最大化地减轻安全漏洞对信息系统的威胁。最大化地减轻安全漏洞对信息系统的威胁。

【技术实现步骤摘要】
一种动静态结合的安全测试流水线系统


[0001]本专利技术涉及计算机领域，具体涉及一种动静态结合的安全测试流水线系统。

技术介绍

[0002]对于信息系统来说，信息安全是一个极为关键的课题，近年来，各种各样的信息安全事件层出不穷、种类各异，不仅会对信息系统相关企业造成难以挽回的经济损失和名誉损失，而且让信息系统的用户面临着关键信息泄露、个人财产流失等风险。信息安全保障不能只依赖安全相关从业人员，更需要信息系统的设计人员、开发人员、实施人员等投入相当的精力，为信息系统增强全生命周期的安全保障。
[0003]安全漏洞是导致信息系统安全风险的重要因素，是信息系统中最普遍、最亟待解决的安全隐患。漏洞在信息系统开发、部署、执行整个生命周期中都可能存在，一旦被不法分子发现并利用，不法分子甚至可以轻而易举地越过信息系统的登录认证、访问控制等防护，以系统管理员等高级特权账号对信息系统进行破坏性操作，或进行敏感信息窃取操作。
[0004]通过构建高效、便捷、准确的安全测试流水线，在安全漏洞对信息系统造成不可挽回的破坏前，发现安全漏洞、剖析安全漏洞本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种动静态结合的安全测试流水线系统，其特征在于，包括：目标系统接入、代码持续集成、测试规则配置、运行代码安全测试、源代码安全测试、项目管理集成。2.如权利要求1所述的方法，其特征在于，所述的目标系统接入机制对即将安全测试的应用系统，需先在测试环境部署待测试的应用系统，确保系统功能正常。目标系统接入组件进行注册，注册内容包括应用系统名称、应用系统登录地址、登录用户名和密码、登录用户会话等信息，目标系统接入组件根据注册信息中应用系统，携带登录用户会话信息，将该信息同步给目标系统，目标系统依据会话信息进行接入测试并返回接入结果。3.如权利要求1所述的方法，其特征在于，所述的代码持续集成机制将实现安全测试组件与源代码管理系统的持续集成，支持对源代码管理系统中各个项目分别配置，通过获取项目源代码文件流，接入安全测试组件。4.如权利要求1所述的方法，其特征在于，所述的测试规则配置对安全测试组件的测试规则进行统一的管理和配置，可实现自定义规则。可配置规则包括但不限于：测试方式、漏洞种类、风险级别等。规则配置组件通过查询接口...

【专利技术属性】
技术研发人员：孙晓菡，万睿，文泽鹏，杨光宏，谢冬梅，高山，
申请(专利权)人：中国工程物理研究院计算机应用研究所，
类型：发明
国别省市：