【技术实现步骤摘要】
代码审计方法、装置、设备及介质
[0001]本专利技术涉及代码审计
,尤其是涉及一种代码审计方法、装置、设备及介质。
技术介绍
[0002]随着现代互联网的不断发展和业务越来越复杂,软件系统的设计规模也日益增大,代码数量由几万行发展到现在经常出现的几十万行,甚至几百万行的代码规模,系统的逻辑结构愈加复杂,通过现有的人工代码审核方式无法满足代码审计对于时效和成本等各方面的要求,因此,需要发展自动化的分析工具来检测源代码中的安全漏洞和编码规范问题,并通过人工审核确认这些安全漏洞和编码问题是否是真实的、可疑的或误报。
[0003]然而,现有的代码自动化分析工具在对项目源代码进行迭代开发并且周期性代码审计的过程中,对同一个安全漏洞和编码规范问题的审计结果并没有实现有效记忆,因此,当项目中存在对同一个漏洞时,自动化分析工具会对同一漏洞进行重复的审计工作,这就造成了代码审计工作效率低的问题。
技术实现思路
[0004]本专利技术的主要目的在于提供一种代码审计方法、装置、设备及介质,旨在提高代码审计工作的效率...
【技术保护点】
【技术特征摘要】
1.一种代码审计方法,其特征在于,所述代码审计方法,包括:接收待审计的源代码;对所述源代码进行扫描分析,得到扫描报告文件,并确定所述源代码对应的当次审计漏洞列表;将所述当次审计漏洞列表与已审计漏洞列表进行匹配,判断所述当次审计漏洞列表中是否存在已审计的代码漏洞;若所述当次审计漏洞列表存在已审计的代码漏洞,则获取所述已审计的代码漏洞对应的审计记录,并根据所述审计记录解决所述代码漏洞。2.如权利要求1所述的代码审计方法,其特征在于,在所述判断所述源代码中是否携带已审计的代码漏洞的步骤之后,所述方法还包括:若所述当次审计漏洞列表不携带已审计的代码漏洞,则需要对所述审计漏洞列表进行审计,得到对应的审计结果;对所述审计结果进行分析,得到对应的分析结果;将所述当次审计漏洞列表对应的审计结果和分析结果整理成审计记录,并将所述审计记录存储至所述已审计漏洞列表。3.如权利要求1所述的代码审计方法,其特征在于,所述将所述当次审计漏洞列表与已审计漏洞列表进行匹配,判断所述当次审计漏洞列表中是否存在已审计的代码漏洞的步骤,包括:根据所述已审计漏洞列表,查询所述源代码是否存在历史审计记录;若所述已审计漏洞列表中存在所述源代码历史的审计记录,则将所述扫描报告文件的代码漏洞与所述已审计漏洞列表上次的审计记录进行一次匹配,判断所述源代码中是否存在已审计的代码漏洞;若不存在,则将所述扫描报告文件的代码漏洞与所述已审计漏洞列表上次的审计记录进行二次匹配,以补充所述源代码中一次匹配未确定的已审计的代码漏洞。4.如权利要求3所述的代码审计方法,其特征在于,所述将所述扫描报告文件的审计与所述已审计漏洞列表对应的审计记录进行一次匹配,判断所述源代码中是否存在已审计的代码漏洞的步骤,包括:基于预设的严格匹配算法,将所述扫描报告文件与审计文件进行严格匹配,获取对应的一次匹配结果;根据所述一次匹配结果,判断所述源代码中是否存在已审计的代码漏洞。5.如权利要求4所述的代码审计方法,其特征在于,所述将所述扫描报告文件...
【专利技术属性】
技术研发人员:蔡琦,万振华,王颉,徐瑞祝,陆庆尚,
申请(专利权)人:深圳开源互联网安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。