【技术实现步骤摘要】
软件开发工具包的安全监控方法、装置、设备及介质
[0001]本公开涉及计算机
,尤其涉及一种软件开发工具包的安全监控方法、装置、设备及介质。
技术介绍
[0002]目前,软件开发工具包(Software Development Kit,SDK)属于软件供应链中重要的部分,SDK的安全也是软件供应链安全中重要的部分,在终端常见的应用程序(Application,APP)中,接入SDK是常见的开发模式,一个APP中一般都会接入多个SDK,与此同时,SDK在使用运行时也存在一些安全风险。
[0003]在SDK的安全检测中,常见的技术方法是静态分析和动态分析,静态分析是指分析SDK的权限、特征等,动态分析是指在特定的固件或环境(沙箱)或利用特定的工具进行动态检测,检测是否调用敏感权限、敏感接口、个人信息等。
[0004]但是,目前针对SDK的安全检测或管控,仍然存在较大难点,如运行过程中的安全,虽然动态检测可以在发布前一定程度上发现一些风险,但对于SDK在实际用户环境中是较难发现和阻断的。
技术实现思路
...
【技术保护点】
【技术特征摘要】
1.一种软件开发工具包的安全监控方法,其特征在于,包括:获取待检测应用程序的软件开发工具包信息,所述软件开发工具包信息包括所述待检测应用程序的软件开发工具包的包名、版本、所述待检测应用程序调用所述软件开发工具包接口的第一调用信息;获取所述待检测应用程序的软件开发工具包的具体行为信息;在所述待检测应用程序的软件开发工具包接口处增加目标函数,基于所述目标函数,获取所述待检测应用程序的目标调用信息,其中,所述目标函数包括基于动态代理的钩子代码的执行逻辑;基于所述待检测应用程序的软件开发工具包信息和所述待检测应用程序的软件开发工具包的具体行为信息,确定所述目标调用信息属于正常调用信息。2.根据权利要求1所述的方法,其特征在于,在所述获取待检测应用程序的软件开发工具包信息之后,所述方法还包括:对所述待检测应用程序的软件开发工具包信息进行更新。3.根据权利要求1所述的方法,其特征在于,所述获取所述待检测应用程序的软件开发工具包的具体行为信息,包括:响应于对所述待检测应用程序的软件开发工具包的具体行为分析操作,获取所述待检测应用程序的软件开发工具包的具体行为信息。4.根据权利要求1所述的方法,其特征在于,所述待检测应用程序的软件开发工具包的具体行为信息包括所述待检测应用程序的软件开发工具包对应的调用关系和所述待检测应用程序的软件开发工具包接口的调用请求信息。5.根据权利要求1所述的方法,其特征在于,所述基于所述目标函数,获取所述待检测应用程序的目标调用信息,包括:基于所述目标函数,对所述待检测应用程序的软件开发工具包接口进行监控,获取所述待检测应用程序的软件开发工具包接口的第二调用信息;基于打印堆栈技术,下载所述待检测应用程序的软件开发工具包接口的第二调用信息,将所述第二调用信息确定为所述目标调用信息。6.根据权利要求1所述的方法,其特征在于,所述基于所述待检测应用程序的软件开发工具包信息和所述待检测应用程序的软件开发工具包的具体行为信息,确定所述目标调用信息属于正常调用信息,包括:将所述目标调用信息与所述待检测...
【专利技术属性】
技术研发人员:黄超华,
申请(专利权)人:珠海市魅族科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。