【技术实现步骤摘要】
一种安全测试方法及电子设备
[0001]本申请涉及安全测试
,尤其涉及一种安全测试方法及电子设备。
技术介绍
[0002]随着移动互联网高速发展,各类应用已经渗入到了民众生活的方方面面。例如,在阅读、出行、学习、资讯、生活等领域,都有数量庞大的应用,为用户提供各种丰富多彩的服务。而这些应用的安全性则成为影响用户体验、保护用户隐私的重要因素。
[0003]目前,为了给用户提供良好的用户体验,在应用正式上线前,应用厂商会对应用进行安全测试。现有的安全测试流程不存在安全威胁分析,仅依靠测试人员的个人经验及通用的安全扫描工具来进行测试,不仅无法保证安全需求在测试过程中被全面覆盖,又可能因为测试人员经验不足或安全扫描工具功能不全而导致遗漏测试项,导致安全测试并不全面,容易存在漏洞。另外,在测试项过多时,需要分别输入测试数据至不同的安全工具,操作较为复杂,测试过程效率较低。
技术实现思路
[0004]本申请实施例提供一种安全测试方法及电子设备,用于解决安全测试不全面以及效率低的问题。
[0005]为...
【技术保护点】
【技术特征摘要】
1.一种安全测试方法,其特征在于,所述方法包括:接收绘制指令,生成威胁建模分析图,所述威胁建模分析图用于指示第一应用的安全威胁风险,所述威胁建模分析图包括多种图元;接收选择指令,从安全资产库提供的多个测试项中给多种图元选择第一测试项;基于所述第一测试项从所述安全资产库中查询得到第一测试用例,所述第一测试用例包括用例类型,所述安全资产库还包括多个测试用例以及所述多个测试用例与所述多个测试项的对应关系,所述多个测试用例包括所述第一测试用例;若所述用例类型指示所述第一测试用例为自动化用例,基于所述第一测试用例从所述安全资产库中查询得到第一插件,所述安全资产库还包括所述多个测试用例与多个测试插件的关联关系,所述多个测试插件包括所述第一插件;获取第一测试数据;基于所述第一测试数据及所述第一插件进行测试,得到第一告警结果;基于所述第一测试项、所述第一测试用例及所述第一告警结果,生成安全测试报告。2.根据权利要求1所述的方法,其特征在于,所述获取第一测试数据包括:解析所述第一插件的配置文件得到任务参数,所述任务参数为运行所述第一插件所需的参数;向客户端发送所述任务参数;接收所述客户端发送的第一测试数据。3.根据权利要求2所述的方法,其特征在于,所述第一测试用例为第一类型的测试用例,所述第一测试数据包括运行所述第一插件所需的参数,所述基于所述第一测试数据及所述第一插件进行测试,得到第一告警结果包括:将所述第一测试数据写入所述第一插件的配置文件;运行写入所述第一测试数据后的第一插件,得到所述第一告警结果。4.根据权利要求3所述的方法,其特征在于,所述运行写入所述第一测试数据后的第一插件,得到第一告警结果包括:基于写入所述第一测试数据后的配置文件生成第一插件的插件包;向执行机发送所述第一插件的插件包;与所述执行机建立远程连接并向所述执行机发送运行指令;接收所述执行机发送的所述第一告警结果。5.根据权利要求2所述的方法,其特征在于,若所述第一测试用例为第二类型的测试用例,所述第一测试数据包括所述第一应用的代码地址,所述基于所述第一测试数据及所述第一插件进行测试,得到第一告警结果包括:根据所述第一测试数据获取所述第一应用的业务代码;利用所述第一插件,基于所述第一测试用例携带的扫描规则扫描所述第一应用的业务代码,得到所述第一告警结果。6.根据权利要求1
‑
5中任意一项所述的方法,其特征在于,所述方法还包括:确定所述第一告警结果的告警状态,所述告警状态用于指示所述第一告警结果是否需要被申报;基于所述第一测试项、所述第一测试用例及所述第一告警结果,生成安全测试报告包
括:基于所述第一测试项、所述第一测试用例、所述第一告警结果及所述第一告警结果的告警状态,生成所述安全测试报告。7.根据权利要求6所述的方法,其特征在于,所述确定所述第一告警结果的告警状态包括:判断历史告警结果中是否包括与所述第一告警结果匹配的第二告警结果;若所述历史告警结果中包括与所述第一告警结果匹配的第二告警结果,根据所述第二告警结果的告警状态确定所述第一告警结果的告警状态,其中,所述第一告警结果的告警状态与所述第二告警结果的告警状态一致。8.根据权利要求7所述的方法,其特征在于,所述第二告警结果为利用第二插件基于第二测试数据运行得到的告警结果;若所述第一测试用例为第一类型的测试用例、所述第二告警结果与所述第一告警结果相同...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。