[发明专利]一种基于电力数据中台安全规则的自动化检测方法及装置

说明书

本发明公开了一种基于电力数据中台安全规则的自动化检测方法及装置，建立自动化调度的应用架构，通过命令机器人对编码进行中台规范的源码规范检查，对源码进行安全性的扫描，检测源码的各种安全漏洞、内存漏洞；通过实体操作机器人对源码进行安全性的扫描，检测源码的各种安全漏洞、内存漏洞；流程调度平台在源码经过源码检查机器人扫描过后，对源码进行打包，并把系统推送到安全验证环境进行部署；通过命令机器人对部署的应用进行中台安全运行的规则进行检测和扫描，并输出报告和分析结果。本发明解决了数据中台安全性的自动化问题，解决数据中台检测投入人力多、成本高、周期长的问题。

技术领域

本发明属于软件技术领域，涉及一种电力数据中台的，安全检测规则的自动化架构，具体说是一种基于电力数据中台安全规则的自动化检测方法及装置。

背景技术

在自动检测领域，有非常多的零散的落地实践功能。需要把这些实践功能集成起来实现，devops理念的出现给流程自动化提供了流程调度的支持。源码编写规则的checkstyle提供规范约束检查；fortify提供静态代码分析能力；checkmarx提供识别、跟踪和修复源代码中技术上和逻辑上缺陷的能力；appscan 提供对Web应用程序的安全漏洞进行测试的能力。

编码规则检查：

对数据中台的源码进规范的检查；Checkstyle是一款检查java程序代码样式的工具，可以有效的帮助检视代码以便更好的遵循代码编写标准，特别适用于开发时彼此间的样式规范和统一。Checkstyle提供了高可配置性，以便适用于各种代码规范，所以除了业界标准的代码规范外，数据中台也定义了自己的标准。能够自动化代码规范检查过程，从而使得开发人员从这项重要，但是枯燥的任务中解脱出来。

安全规则检查：

Fortify 能够提供静态和动态应用程序安全测试技术，以及运行时应用程序监控和保护功能。为实现高效安全监测，Fortify具有源代码安全分析，可精准定位漏洞产生的路径，以及具有1分钟1万行的扫描速度。

Fortify是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配置流等对数据中台各种组件的源代码进行静态的分析，分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找，从而将数据中台源代码中存在的安全漏洞扫描出来，并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息，还会有相关的安全知识的说明，以及修复意见的提供。

运行规则检查：

AppScan是IBM公司出的一款Web应用安全测试工具，采用黑盒测试的方式，扫描网站所有url，自动测试是否存在各种类型的漏洞。

其工作原理，首先是根据起始页爬取站下所有可见的页面，同时测试常见的管理后台；获得所有页面之后利用SQL注入原理进行测试是否存在注入点以及跨站脚本攻击的可能；同时还会对cookie管理、会话周期等常见的web安全漏洞进行检测。

AppScan功能十分齐全，支持登录功能并且拥有十分强大的报表。通过录制数据中台各个应用组件的安全扫描规则，扫描完成后，输出扫描结果；在扫描结果中，不仅能够看到扫描的漏洞，还提供了详尽的漏洞原理、修改建议、手动验证等功能。

流程调度工具：

Jenkins流水线是一套插件，支持将连续输送流水线实施和整合到Jenkins。流水线提供了一组可扩展的工具，用于通过流水线DSL为代码创建简单到复杂的传送流水线。

经过上述分析，鉴于这些方式提供了一些基础设置，但缺乏整合的方式和渠道，很难对电力数据中台提供支撑。通过提供机器人技术、整合技术，把各种安全规则的应用插件组装起来，为电力数据中台安全提供自动化检测的功能是非常有价值。

发明内容