【技术实现步骤摘要】
API生命周期的安全管理方法及装置
[0001]本公开涉及计算机
,尤其涉及一种API生命周期的安全管理方法及装置。
技术介绍
[0002]在相关技术中,卫星的测运控数据量和数据接口非常多,如果人为进行重复性对每个数据接口进行重复性的渗透测试,则需要大量的重复工作。
[0003]公开于本申请
技术介绍
部分的信息仅仅旨在加深对本申请的一般
技术介绍
的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域技术人员所公知的现有技术。
技术实现思路
[0004]本公开实施例提供一种API生命周期的安全管理方法及装置。能够基于静态测试和动态测试结合的方式获得API的风险评估信息,从而获得更丰富的安全信息,以更准确地查找安全漏洞。可提升待测业务平台的安全性,且不必通过人工进行大量重复工作,提升了测试的准确性和测试效率,节约人工成本。
[0005]本公开实施例的第一方面,提供一种API生命周期的安全管理方法,包括:获取待测业务平台的API安全信息;根据所述API安全信息,建立API威胁库,其中,所述...
【技术保护点】
【技术特征摘要】
1.一种API生命周期的安全管理方法,其特征在于,包括:获取待测业务平台的API安全信息;根据所述API安全信息,建立API威胁库,其中,所述API威胁库包括至少一种API安全漏洞信息;根据所述API威胁库,对所述待测业务平台的API进行静态测试,获得静态测试结果;根据所述API威胁库,获得API威胁模型;根据所述API威胁模型,对所述待测业务平台的API进行动态测试,获得动态测试结果;根据所述静态测试结果和所述动态测试结果,获得所述待测业务平台的API的风险评估信息。2.根据权利要求1所述的方法,其特征在于,获取待测业务平台的API安全信息,包括:获取所述待测业务平台的关系数据库和/或时序数据库的API信息;根据所述API信息,获得所述API安全信息。3.根据权利要求1所述的方法,其特征在于,根据所述API安全信息,建立API威胁库,包括:获取API安全需求信息;根据所述API安全信息,确定所述待测业务平台的API针对所述API安全需求信息的安全措施;根据所述安全措施,获取至少一种API安全漏洞信息。4.根据权利要求1所述的方法,其特征在于,根据所述API威胁库,对所述待测业务平台的API进行静态测试,获得静态测试结果,包括:根据所述至少一种API安全漏洞信息,确定所述待测业务平台中具有安全漏洞的功能;屏蔽所述具有安全漏洞的功能后,搜索所述待测业务平台的安全漏洞;根据搜索结果,确定所述静态测试结果。5.根据权利要求1所述的方法,其特征在于,根据所述API威胁库,获得API威胁模型,包括:根据所述至少一种API安全漏洞信息,与FUZZ测试工具进行对比,获取与所述至少一种API安全漏洞信息匹配的目标FUZZ测试工具;根据所述待测业务平台...
【专利技术属性】
技术研发人员:王柳一,赵磊,董玮,朱太平,
申请(专利权)人:北京航天驭星科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。