【技术实现步骤摘要】
一种面向持续集成部署的安全分析方法及装置
[0001]本专利技术属于持续集成部署领域,尤其涉及一种面向持续集成部署的安全分析方法及装置。
技术介绍
[0002]持续集成(Continuous Integration,CI)和持续部署(Continuous Deployment,CD)在现代软件工程实践中被广泛应用。通过将应用程序的构建、测试和部署自动化,持续集成和持续部署显著地提升了软件开发效率。近些年,开源代码托管平台也引入了持续集成和持续部署(CI/CD)服务,允许开发者配置自动化的CI/CD流水线,用以减少开源软件的维护负担。例如,GitHub就在2019年11月正式支持自建的持续集成和持续部署服务,Gitee也推出了自建的持续集成和持续部署服务Gitee Go。目前,Gitee、GitHub、GitLab等主流开源代码托管平台引入的CI/CD服务正在成为一个现象级应用,在近3年里,CI/CD广泛地被各类软件所采用,并且在开源领域愈发流行。
[0003]尽管持续集成和部署在开源领域十分流行,但持续集成流水线常常...
【技术保护点】
【技术特征摘要】
1.一种面向持续集成部署的安全分析方法,其特征在于,包括:在开源代码托管平台上收集开源项目中关于持续集成部署配置相关的数据信息,通过对所述数据信息进行数据清理,提取出持续集成部署配置文件并保存到数据库;对所述持续集成部署的配置文件进行安全分析,其中所述安全分析包括脚本识别、运行环境识别、密钥识别、敏感操作识别、脚本认证识别、脚本版本滞后识别、漏洞版本识别;根据安全分析的结果,生成对应的安全分析报告。2.根据权利要求1所述的方法,其特征在于,在开源代码托管平台上收集开源项目中关于持续集成部署配置相关的数据信息,通过对所述数据信息进行数据清理,提取出持续集成部署配置文件并保存到数据库,包括:通过开源代码托管平台中的代码仓库查询API,获取开源项目代码仓库的索引;将所述索引存储进数据库进行保存,以便后续的代码拉取调度和分析;根据所述数据库中储存的索引,调度到多个线程上拉取开源项目源代码;从所述开源项目源代码中抽取持续集成部署的配置文件并将所述配置文件保存到数据库中。3.根据权利要求1所述的方法,其特征在于,所述脚本识别用于对所述持续集成部署的配置文件中所引用的脚本进行识别。4.根据权利要求1所述的方法,其特征在于,所述运行环境识别用于通过语法解析识别持续集成部署运行时的环境。5.根据权利要求1所述的方法,其特征在于,所述密钥识别用于通过分析所述持续集成部署的配置文件,识别密钥条目并计算密钥的数量。6.根据权利要求1所述的方法,其特征在于,所述敏感操作识别用于通过分...
【专利技术属性】
技术研发人员:申文博,潘子曰,常瑞,刘娟,任奎,
申请(专利权)人:浙江大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。