【技术实现步骤摘要】
本说明书一个或多个实施例涉及计算机,尤其涉及一种用于程序代码的安全漏洞测试方法及装置。
技术介绍
1、在软件开发场景中,针对开发完成的软件产品需要进行全面测试,并在测试通过后才能投入使用。通常,对软件产品的测试方式包括黑盒测试和白盒测试,其中,黑盒测试主要是对软件产品的功能、界面、输入、输出、兼容性、安全性等内显性内容进行测试,而白盒测试则是对程序代码本身的逻辑、语法、代码路径、数据结构、错误处理机制、性能等隐性内容进行测试。因此,对于白盒测试而言,需要对程序代码进行更全面、深入的排查。
2、白盒测试通常包括工具测试和人工测试两种手段。对于工具测试而言,大部分采用代码静态分析的方式,基于预设的安全漏洞规则检查程序代码是否存在安全漏洞。然而,测试工具对程序代码的扫描有一定的局限性,常常出现误报或漏报的情况,得到的测试结果并不理想。对于人工测试而言,不仅要求测试人员对程序代码非常熟悉,还需要具备极高的技术能力,但是,对于功能复杂的程序代码来说,即使测试人员具备上述能力,也需要花费大量的时间和精力才能完成测试工作。
3...
【技术保护点】
1.一种用于程序代码的安全漏洞测试方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,获取目标源代码中由指定入口节点关联的调用链路信息,包括:
3.根据权利要求1所述的方法,其特征在于,获取目标源代码中由指定入口节点关联的调用链路信息,包括:
4.根据权利要求3所述的方法,其特征在于,获取对目标源代码执行静态分析操作得到的分析结果,包括:
5.根据权利要求4所述的方法,其特征在于,根据所述调用链路信息,自动化生可执行的应用程序,包括:
6.根据权利要求5所述的方法,其特征在于,在预先搭建的运行...
【技术特征摘要】
1.一种用于程序代码的安全漏洞测试方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,获取目标源代码中由指定入口节点关联的调用链路信息,包括:
3.根据权利要求1所述的方法,其特征在于,获取目标源代码中由指定入口节点关联的调用链路信息,包括:
4.根据权利要求3所述的方法,其特征在于,获取对目标源代码执行静态分析操作得到的分析结果,包括:
5.根据权利要求4所述的方法,其特征在于,根据所述调用链路信息,自动化生可执行的应用程序,包括:
6.根据权利要求5所述的方法,其特征在于,在预先搭建的运行环境中执行所述应用程序,包括:
7.根据权利要求6所述的方法,其特征在于,获取与所述应用程序对应的多种测试用例,包括:
8.根据权利要求6所述的方法,其特征在于,根据每种测试用例的执行结果,确定所述调用链路信息涉及的安全漏洞信息,包括:
9.根据权利要求6所述的方法,其特征在于,根据每种测试用例的执行结果,确定所述调用链路信息涉及的安全漏洞信息,包括:
10.根据权利要求9所述的方法,其特征在于,根据所述静态分析结果和所述动态测试结果,确定所述调用链路信息涉及的安全漏洞信息,包括:
11.一种用于程序代码的安全漏洞测试装置,其特征在于,包括:
12.根据权利要求11所述的装置,其特征在于,所述获取模块获取目标源代码中由指定入口节点关联的调用链路信息,用...
【专利技术属性】
技术研发人员:吕知博,
申请(专利权)人:支付宝中国网络技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。