静态应用安全测试工具的管理方法、装置、设备及介质制造方法及图纸

本发明专利技术公开了静态应用安全测试工具的管理方法、装置、设备及介质，基于所述静态应用安全测试系统中预设的标识鉴别机制，对静态应用中当前账号的用户数据进行标识，获取对应的标识数据，并根据所述标识数据确定符合预设身份的测试工具；基于所述预设身份的测试工具进行安全测试，并根据所述测试工具进行安全测试的可审计事件生成对应的审计记录数据；基于所述静态应用安全测试系统预设的数据保护功能，对所述静态应用安全测试系统中的资产数据和所述审计记录数据进行数据保护。本发明专利技术通过标识鉴别、安全审计和数据保护，实现了静态应用安全测试工具体系化安全功能的管理系统，降低了静态应用安全工具自身的风险性，提高了安全测试效率。试效率。试效率。

【技术实现步骤摘要】
静态应用安全测试工具的管理方法、装置、设备及介质


[0001]本专利技术涉及应用安全
，尤其涉及一种静态应用安全测试工具的管理方法、装置、设备及介质。

技术介绍

[0002]随着互联网时代的来临，数据安全的问题日益突出，全球每年都会有大量的爆炸性数据泄露事件发生，而数据泄露的规模、破坏性和影响也越来越大。根据Identify Theft Research Center中心的数据显示，与2021年同期相比，今年的数据泄漏事件增长了14％，而公用事业企业、医疗机构、金融服务公司、制造企业是黑客的首要攻击目标。在此前提下，诞生了大量的静态应用安全测试工具对源代码的安全问题进行测试。
[0003]然而，静态应用安全测试工具的数据安全往往被忽略，导致工具自身出现安全问题，成为数据安全新的风险点。目前静态应用安全测试工具不存在体系化的数据安全管理的安全功能开发方法，这导致工具在使用过程中存在数据安全问题。因此，静态应用安全工具在进行安全测试时会存在测试效率低和存在安全性问题。

技术实现思路

[0004]本专利技术的主要目的在于提出一种静态应用安全测试工具的管理方法、装置、设备及介质，旨在提高静态应用安全测试工具进行安全测试的效率和安全性。
[0005]为实现上述目的，本专利技术提供一种静态应用安全测试工具的管理方法，所述静态应用安全测试工具的管理方法应用于静态应用安全测试系统，包括：
[0006]基于所述静态应用安全测试系统中预设的标识鉴别机制，对静态应用中当前账号的用户数据进行标识，获取对应的标识数据，并根据所述标识数据确定符合预设身份的测试工具；
[0007]基于所述预设身份的测试工具进行安全测试，并根据所述测试工具进行安全测试的可审计事件生成对应的审计记录数据；
[0008]基于所述静态应用安全测试系统预设的数据保护功能，对所述静态应用安全测试系统中的资产数据和所述审计记录数据进行数据保护。
[0009]优选地，所述基于所述静态应用安全测试系统中预设的标识鉴别机制，对静态应用中当前账号的用户数据进行标识，获取对应的标识数据，并根据所述标识数据确定符合预设身份的测试工具的步骤，包括：
[0010]基于预设的用户账号登录所述静态应用安全测试系统；
[0011]基于所述标识鉴别机制的标识功能，对当前用户账号中的用户数据进行标识，得到标识数据；
[0012]基于所述标识鉴别机制的鉴别功能，根据当前用户的标识数据对当前进行访问的测试工具进行身份鉴别，确定符合预设身份的测试工具。
[0013]优选地，所述基于所述标识鉴别机制的鉴别功能，根据当前用户的标识数据对当
前进行访问的测试工具进行身份鉴别，确定符合预设身份的测试工具的步骤，包括：
[0014]基于预设的鉴别反馈机制，根据所述标识数据进行验证，判断所述测试工具是否符合预设身份，并返回对应的验证信息；
[0015]若所述测试工具的验证信息符合预设标准，则所述测试工具为被允许访问的测试工具。
[0016]优选地，在所述判断所述测试工具是否符合预设身份，并返回对应的验证信息的步骤之后，所述方法还包括：
[0017]若所述测试工具的验证信息不符合预设标准，则所述测试工具的鉴别身份为不被允许的访问工具；
[0018]基于所述静态应用安全测试系统的安全功能对当前账户进行锁定，所述不被允许访问工具禁止对当前账户进行访问；
[0019]直到当前账户达到预设的解锁条件，当前账户在解锁后对再次访问的测试工具进行身份鉴别。
[0020]优选地，所述基于所述预设身份的测试工具进行安全测试，并根据所述测试工具进行安全测试的可审计事件生成对应的审计记录数据的步骤，包括：
[0021]获取当前账号预先设定的可审计事件；
[0022]提取在所述测试工具进行安全测试过程中的可审计事件，并根据所述测试过程中的可审计事件生成对应的审计记录数据。
[0023]优选地，所述基于所述静态应用安全测试系统预设的数据保护功能，对所述静态应用安全测试系统中的资产数据和所述审计记录数据进行数据保护的步骤，包括：
[0024]基于所述数据保护功能，对所述资产数据进行预设的访问控制，确定所述测试工具进行访问的访问权限，所述审计记录数据与所述访问权限对应；
[0025]对所述审计记录数据中对应的测试对象进行脆弱性收集，确定所述测试对象中的脆弱性信息列表；
[0026]将所述脆弱性信息列表进行预设方式的存储，实现对当前账户中的数据保护。
[0027]优选地，在所述基于所述数据保护功能，对所述资产数据进行预设的访问控制的步骤之前，所述方法还包括：
[0028]在所述静态应用安全测试系统的数据模块之间建立可信工具用于数据传输的可信信道；
[0029]基于所述可信信道对所述审计记录数据、资产数据和脆弱性信息列表中的数据进行数据传输，用以实现静态应用安全测试系统中的数据可信传输。
[0030]此外，为实现上述目的，本专利技术实施例还提出一种测试工具管理装置，所述测试工具管理装置包括：
[0031]身份鉴别模块，用于基于静态应用安全测试系统中预设的标识鉴别机制，对静态应用中当前账号的用户数据进行标识，并确定身份鉴别后符合预设身份的测试工具；
[0032]安全审计模块，用于基于所述预设身份的测试工具进行安全测试，并根据所述测试工具进行安全测试的可审计事件生成对应的审计记录数据；
[0033]数据保护模块，用于基于所述静态应用安全测试系统预设的数据保护功能，对所述静态应用安全测试系统中的资产数据和所述审计记录数据进行数据保护。
[0034]优选地，所述身份鉴别模块，包括：
[0035]基于预设的用户账号登录所述静态应用安全测试系统；
[0036]基于所述标识鉴别机制的标识功能，对当前用户账号中的用户数据进行标识，得到标识数据；
[0037]基于所述标识鉴别机制的鉴别功能，根据当前用户的标识数据对当前进行访问的测试工具进行身份鉴别，确定符合预设身份的测试工具。
[0038]优选地，所述身份鉴别模块，还包括：
[0039]基于预设的鉴别反馈机制，根据所述标识数据进行验证，判断所述测试工具是否符合预设身份，并返回对应的验证信息；
[0040]若所述测试工具的验证信息符合预设标准，则所述测试工具为被允许访问的测试工具。
[0041]优选地，所述身份鉴别模块，还包括：
[0042]若所述测试工具的验证信息不符合预设标准，则所述测试工具的鉴别身份为不被允许的访问工具；
[0043]基于所述静态应用安全测试系统的安全功能对当前账户进行锁定，所述不被允许访问工具禁止对当前账户进行访问；
[0044]直到当前账户达到预设的解锁条件，当前账户在解锁后对再次访问的测试工具进行身份鉴别。
[0045]优选地，所述安全审计模块，包括：
[0046]获取当前账本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种静态应用安全测试工具的管理方法，其特征在于，所述方法应用于静态应用安全测试系统，包括：基于所述静态应用安全测试系统中预设的标识鉴别机制，对静态应用中当前账号的用户数据进行标识，获取对应的标识数据，并根据所述标识数据确定符合预设身份的测试工具；基于所述预设身份的测试工具进行安全测试，并根据所述测试工具进行安全测试的可审计事件生成对应的审计记录数据；基于所述静态应用安全测试系统预设的数据保护功能，对所述静态应用安全测试系统中的资产数据和所述审计记录数据进行数据保护。2.如权利要求1所述的静态应用安全测试工具的管理方法，其特征在于，所述基于所述静态应用安全测试系统中预设的标识鉴别机制，对静态应用中当前账号的用户数据进行标识，获取对应的标识数据，并根据所述标识数据确定符合预设身份的测试工具的步骤，包括：基于预设的用户账号登录所述静态应用安全测试系统；基于所述标识鉴别机制的标识功能，对当前用户账号中的用户数据进行标识，得到标识数据；基于所述标识鉴别机制的鉴别功能，根据当前用户的标识数据对当前进行访问的测试工具进行身份鉴别，确定符合预设身份的测试工具。3.如权利要求2所述的静态应用安全测试工具的管理方法，其特征在于，所述基于所述标识鉴别机制的鉴别功能，根据当前用户的标识数据对当前进行访问的测试工具进行身份鉴别，确定符合预设身份的测试工具的步骤，包括：基于预设的鉴别反馈机制，根据所述标识数据进行验证，判断所述测试工具是否符合预设身份，并返回对应的验证信息；若所述测试工具的验证信息符合预设标准，则所述测试工具为被允许访问的测试工具。4.如权利要求3所述的静态应用安全测试工具的管理方法，其特征在于，在所述判断所述测试工具是否符合预设身份，并返回对应的验证信息的步骤之后，所述方法还包括：若所述测试工具的验证信息不符合预设标准，则所述测试工具的鉴别身份为不被允许的访问工具；基于所述静态应用安全测试系统的安全功能对当前账户进行锁定，所述不被允许访问工具禁止对当前账户进行访问；直到当前账户达到预设的解锁条件，当前账户在解锁后对再次访问的测试工具进行身份鉴别。5.如权利要求2所述的静态应用安全测试工具的管理方法，其特征在于，所述基于所述预设身份的测试工具进行安全测试，并根据所述测试工具进行安全测试的可审计事件生...

【专利技术属性】
技术研发人员：高超，万振华，王颉，徐瑞祝，
申请(专利权)人：深圳开源互联网安全技术有限公司，
类型：发明
国别省市：