【技术实现步骤摘要】
源代码审计方法和装置、电子设备及存储介质
[0001]本申请涉及人工智能
,尤其涉及一种源代码审计方法和装置、电子设备及存储介质。
技术介绍
[0002]源码审计作为软件安全开发流程的重要一环,着力于在程序员开发完源码后进行源码扫描,这些扫描后的源码缺陷极有可能被攻击者利用,同时在此阶段的缺陷修复也极大程度地保障了业务系统的安全性。因此,商用的解决方案成本及维护成本普遍比较昂贵,如Fortify SCA,Checkmarx等,它们提供了一套全面的源码审计解决方案,帮助企业在软件开发过程中查找、识别、追踪各大主流漏洞,提升企业抵御网络入侵、数据泄漏等安全问题的能力。
[0003]商业工具的漏洞检测能力精确率高,但同时带来了软件费用昂贵,学习成本高,使用环境及部署不够灵活,在创新型小企业如雨后春笋般出现的时代,往往这类企业因为种种原因对源码审计的投入的资金有限,未使用合适的工具,系统发布后才发现存在许多外部安全风险。另外商业工具漏洞规则迭代周期慢,在信息安全领域中每天都有新的漏洞出现,这种与时间竞赛的漏洞修复作业,...
【技术保护点】
【技术特征摘要】
1.一种源代码审计方法,其特征在于,应用于服务器,所述方法包括:获取源代码文档和漏洞信息;识别所述源代码文档的源代码信息;根据所述漏洞信息生成漏洞审计规则;根据所述漏洞审计规则对所述源代码信息进行漏洞匹配,以识别出源代码漏洞;根据所述源代码漏洞生成漏洞审计结果。2.根据权利要求1所述的方法,其特征在于,所述获取源代码文档,包括:通过命令行界面CLI或应用程序接口API进行源代码扫描来获取所述源代码文档。3.根据权利要求1所述的方法,其特征在于,所述源代码信息包括源代码的文档类型、语言类型和框架类型,所述识别所述源代码文档的文档类型和源代码信息,包括:通过所述源代码文档的后缀识别所述源代码的文档类型;通过所述源代码的文档类型识别所述源代码的语言类型;通过所述源代码文档的依赖关系识别所述源代码的框架类型。4.根据权利要求3所述的方法,其特征在于,所述根据所述漏洞审计规则对所述源代码信息进行漏洞匹配,以识别出源代码漏洞,包括:根据所述漏洞审计规则对所述框架类型进行漏洞匹配,以识别出第一源代码漏洞,其中,所述第一源代码漏洞用于表征CVE安全漏洞;根据所述漏洞审计规则对所述源代码信息进行漏洞匹配,以识别出第二源代码漏洞,其中,所述第二源代码漏洞用于表征用户自身编写源代码的安全漏洞。5.根据权利要求4所述的方法,其特征在于,所述根据所述漏洞审计规则对所述源代码信息进行漏洞匹配,以识别出第二源代码漏洞,包括:对所述源代码进行词法分析和语法分析,生成所述源代码的抽象语法树;遍历所述抽象语法树,将所述抽象语法树的参数与所述漏洞审计规则中的语言参数漏洞规则进行匹配;在所述抽象语法树的参数与所述漏洞...
【专利技术属性】
技术研发人员:王海奇,
申请(专利权)人:中国平安人寿保险股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。