本发明专利技术提供一种电能计量软件代码漏洞自动扫描方法,包括显示软件代码名称的输入区以及对输入区进行信息确认的触发区;当接收到用户输入的软件代码名称以及对触发区发出的确认指令后,基于用户输入的软件代码名称,从预设软件程序源代码数据库中提取相应的软件代码,并对所提取的软件代码执行漏洞扫描任务;待漏洞扫描任务执行完成后,生成漏洞扫描分析报告并进行风险评语,以确定所提取的软件代码的风险等级,且在风险等级小于预设的风险阈值时,认定所提取的软件代码无安全漏洞。本发明专利技术还提供一种电能计量软件代码漏洞自动扫描系统。实施本发明专利技术,不仅省时省力,还能避免电能计量系统运维人员专业技能偏差时所造成程序代码的安全漏洞遗漏问题。码的安全漏洞遗漏问题。码的安全漏洞遗漏问题。
【技术实现步骤摘要】
一种电能计量软件代码漏洞自动扫描方法及系统
[0001]本专利技术涉及计算机软件管理
,尤其涉及一种电能计量软件代码漏洞自动扫描方法及系统。
技术介绍
[0002]目前,电力市场现货交易是电力体制改革的主要工作中心之一,这就意味着电能计量系统将从传统的离线方式转为在线方式转换。随着电能计量系统新功能的不断推送,使得电能计量系统的安全隐患和风险加大,一旦电能计量系统任何节点的源代码存在安全漏洞或缺陷,则会导致电能现货交易意外中断,从而带来不可估量的社会影响和重大经济损失。
[0003]在现有技术中,为了及时查找软件代码可能存在的安全缺陷,电能计量系统运维人员采用静态代码分析法来发现程序代码本身的安全漏洞,但是这种方式需要电能计量系统运维人员对漏洞扫描工具应用环境(操作系统)、可视化、扫描技术框架、配置文件、扫描过程和控制对象等专业测试技能做深入了解,不仅费时费力,而且在电能计量系统运维人员有专业技能偏差时,会导致部分程序代码的安全漏洞未被发现,造成电能计量软件有致命错误。
[0004]因此,亟需一种新方法来发现程序代码安全漏洞,不仅省时省力,还能避免电能计量系统运维人员专业技能偏差时所造成程序代码的安全漏洞遗漏问题。
技术实现思路
[0005]本专利技术实施例所要解决的技术问题在于,提供一种电能计量软件代码漏洞自动扫描方法及系统,不仅省时省力,还能避免电能计量系统运维人员专业技能偏差时所造成程序代码的安全漏洞遗漏问题。
[0006]为了解决上述技术问题,本专利技术实施例提供了一种电能计量软件代码漏洞自动扫描方法,所述方法包括以下步骤:
[0007]显示软件代码名称的输入区以及对所述输入区进行信息确认的触发区;
[0008]当接收到用户输入的软件代码名称以及对所述触发区发出的确认指令后,基于所述用户输入的软件代码名称,从预设软件程序源代码数据库中提取相应的软件代码,并对所提取的软件代码执行漏洞扫描任务;
[0009]待所述漏洞扫描任务执行完成后,生成漏洞扫描分析报告并进行风险评语,以确定所提取的软件代码的风险等级,且在所述风险等级小于预设的风险阈值时,认定所提取的软件代码无安全漏洞。
[0010]其中,所述方法进一步包括:
[0011]在所述风险等级大于所述预设的风险阈值时,认定所提取的软件代码有安全漏洞,并通知用户进行代码改进。
[0012]其中,所述漏洞扫描任务包括依赖扫描和质量扫描,其是通过漏洞扫描引擎来完
成的;其中,所述漏洞扫描引擎包括预先设置的多个扫描工具,以及每一个扫描工具各自对应的开源组件和漏洞数据库。
[0013]其中,所述漏洞数据库包括漏洞类型及每一个漏洞类型的风险等级。
[0014]其中,所述漏洞扫描分析报告包括Word质量报告、扫描详细日志、项目依赖项分析文档。
[0015]其中,所述方法进一步包括:
[0016]预设设置软件程序源代码数据库;其中,所述软件程序源代码数据库包括软件源代码、配置文件、签入/签出记录。
[0017]本专利技术实施例还提供了一种电能计量软件代码漏洞自动扫描系统,包括:
[0018]显示单元,用于显示软件代码名称的输入区以及对所述输入区进行信息确认的触发区;
[0019]漏洞扫描执行单元,用于当接收到用户输入的软件代码名称以及对所述触发区发出的确认指令后,基于所述用户输入的软件代码名称,从预设软件程序源代码数据库中提取相应的软件代码,并对所提取的软件代码执行漏洞扫描任务;
[0020]无漏洞评估单元,用于待所述漏洞扫描任务执行完成后,生成漏洞扫描分析报告并进行风险评语,以确定所提取的软件代码的风险等级,且在所述风险等级小于预设的风险阈值时,认定所提取的软件代码无安全漏洞。
[0021]其中,还包括:
[0022]有漏洞评估单元,用于在所述风险等级大于所述预设的风险阈值时,认定所提取的软件代码有安全漏洞,并通知用户进行代码改进。
[0023]其中,所述漏洞扫描任务包括依赖扫描和质量扫描,其是通过漏洞扫描引擎来完成的;其中,所述漏洞扫描引擎包括预先设置的多个扫描工具,以及每一个扫描工具各自对应的开源组件和漏洞数据库。
[0024]其中,所述漏洞扫描分析报告包括Word质量报告、扫描详细日志、项目依赖项分析文档。
[0025]实施本专利技术实施例,具有如下有益效果:
[0026]区别于现有的软件代码自动扫描技术,本专利技术无需电能计量系统运维人员具备专业的代码安全漏洞测试工具的使用及技能,就可以调取软件代码进行漏洞扫描任务(包括依赖扫描、质量扫描等),并根据自动生成的漏洞扫描分析报告来判断所扫描软件代码是否满足设计要求,以完成对软件的质量监管,从而减轻电能计量系统运维人员的压力,提高了软件质量,节省了时间,降低了软件开发费用。
附图说明
[0027]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,根据这些附图获得其他的附图仍属于本专利技术的范畴。
[0028]图1为本专利技术实施例提供的一种电能计量软件代码漏洞自动扫描方法的流程图;
[0029]图2为本专利技术实施例提供的一种电能计量软件代码漏洞自动扫描系统的结构示意
图。
具体实施方式
[0030]为使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术作进一步地详细描述。
[0031]如图1所示,为本专利技术实施例中,提供的一种电能计量软件代码漏洞自动扫描方法,所述方法包括以下步骤:
[0032]步骤S1、显示软件代码名称的输入区以及对所述输入区进行信息确认的触发区;
[0033]步骤S2、当接收到用户输入的软件代码名称以及对所述触发区发出的确认指令后,基于所述用户输入的软件代码名称,从预设软件程序源代码数据库中提取相应的软件代码,并对所提取的软件代码执行漏洞扫描任务;
[0034]步骤S3、待所述漏洞扫描任务执行完成后,生成漏洞扫描分析报告并进行风险评语,以确定所提取的软件代码的风险等级,且在所述风险等级小于预设的风险阈值时,认定所提取的软件代码无安全漏洞。
[0035]具体过程为,在步骤S1之前,首先,预设设置软件程序源代码数据库;其中,该软件程序源代码数据库包括软件源代码、配置文件、签入/签出记录等。应当说明的是,软件源代码、配置文件是用户开发之中或完成后上传的,并根据上传时间进行自动增量更新。签入/签出记录是基于上传、更新、删除等操作的记录。
[0036]其次,预设设置漏洞扫描引擎;其中,该漏洞扫描引擎包括预先设置的多个扫描工具,以及每一个扫描工具各自对应的开源组件和漏洞数据库等。此时,漏洞数据库包括漏洞类型及每一个漏洞类型的风险等级。可以理解的是,各扫描工具所携带的漏洞数据库中漏洞类型及其风本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种电能计量软件代码漏洞自动扫描方法,其特征在于,所述方法包括以下步骤:显示软件代码名称的输入区以及对所述输入区进行信息确认的触发区;当接收到用户输入的软件代码名称以及对所述触发区发出的确认指令后,基于所述用户输入的软件代码名称,从预设软件程序源代码数据库中提取相应的软件代码,并对所提取的软件代码执行漏洞扫描任务;待所述漏洞扫描任务执行完成后,生成漏洞扫描分析报告并进行风险评语,以确定所提取的软件代码的风险等级,且在所述风险等级小于预设的风险阈值时,认定所提取的软件代码无安全漏洞。2.如权利要求1所述的电能计量软件代码漏洞自动扫描方法,其特征在于,所述方法进一步包括:在所述风险等级大于所述预设的风险阈值时,认定所提取的软件代码有安全漏洞,并通知用户进行代码改进。3.如权利要求1所述的电能计量软件代码漏洞自动扫描方法,其特征在于,所述漏洞扫描任务包括依赖扫描和质量扫描,其是通过漏洞扫描引擎来完成的;其中,所述漏洞扫描引擎包括预先设置的多个扫描工具,以及每一个扫描工具各自对应的开源组件和漏洞数据库。4.如权利要求3所述的电能计量软件代码漏洞自动扫描方法,其特征在于,所述漏洞数据库包括漏洞类型及每一个漏洞类型的风险等级。5.如权利要求1所述的电能计量软件代码漏洞自动扫描方法,其特征在于,所述漏洞扫描分析报告包括Word质量报告、扫描详细日志、项目依赖项分析文档。6.如权利要求1所述的电能计量软件代码漏洞自动扫描方法,其特征在于,所述...
【专利技术属性】
技术研发人员:陈晓伟,姜和芳,温忠,刘星廷,李芬,刘涛,梁洪浩,陈柳锋,
申请(专利权)人:深圳供电局有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。