[发明专利]漏洞处理方法、装置、设备及存储介质

说明书

本申请实施例提供了一种漏洞处理方法、装置、电子设备及计算机存储介质；该方法包括：获取针对应用程序安全性的测试用例，通过应用程序安全测试平台执行测试用例，接收应用程序安全测试平台返回的待验证漏洞；在待验证漏洞是首次发现的漏洞，且第一训练集中漏洞的选中属性存在于待验证漏洞的属性中时，根据第一训练集中所述选中属性对应的漏洞数与第一训练集对应的总漏洞数的占比、以及第一训练集对应的各漏洞中各个级别漏洞的数量，对待验证漏洞进行验证；其中，第一训练集包括多个漏洞的属性集，属性集包括至少一种属性。

技术领域

本申请涉及金融科技(Fintech)的自动化测试技术，涉及但不限于一种漏洞处理方法、装置、电子设备及计算机存储介质。

背景技术

随着计算机技术的发展，越来越多的技术应用在金融领域，传统金融业正在逐步向金融科技转变，但由于金融行业的安全性、实时性要求，也对技术提出了更高的要求。

在相关技术中，交互式应用程序安全测试(Interactive Application SecurityTesting，IAST)方案是一种新的应用程序安全测试方案，可以通过代理、虚拟专用网络(Virtual Private Network，VPN)或者在服务端部署代理(Agent)程序，收集、监控网络(Web)应用程序运行时函数执行、数据传输，并与扫描器端进行实时交互，从而检测安全缺陷及漏洞。

然而，IAST漏洞扫描方案是需要大量的测试用例执行作为流量驱动，需要在业务测试层面处理，无疑会增加测试人力成本，同时需项目人员熟悉IAST漏洞检测流程；即需要项目人员编写测试用例，从而判断漏洞是否误报，增加了人力成本和时间成本。

发明内容

本申请实施例提供一种漏洞处理方法、装置、电子设备及计算机存储介质，可以自动化地对待验证漏洞进行验证，降低了人力成本和时间成本。

本申请实施例的技术方案是这样实现的：

本申请实施例提供一种漏洞处理方法，所述方法包括：

获取针对应用程序安全性的测试用例，通过应用程序安全测试平台执行所述测试用例，接收所述应用程序安全测试平台返回的待验证漏洞；

在所述待验证漏洞是首次发现的漏洞，且第一训练集中漏洞的选中属性存在于所述待验证漏洞的属性中时，根据所述第一训练集中所述选中属性对应的漏洞数与所述第一训练集对应的总漏洞数的占比、以及所述第一训练集对应的各漏洞中各个级别漏洞的数量，对所述待验证漏洞进行验证；其中，所述第一训练集包括多个漏洞的属性集，所述属性集包括至少一种属性。

在本申请的一些实施例中，所述方法还包括：

在所述待验证漏洞是首次发现的漏洞时，在所述第一训练集中各种属性对应的基尼指数中，确定最小的基尼指数；将所述最小的基尼系数对应的一种属性作为所述选中属性。

可以理解地，基尼指数表示在样本集合中一个随机选中的样本被分错的概率，基尼指数越小表示集合中被选中的样本被分错的概率越小，也就是说集合的纯度越高；在本申请实施例中，可以在第一训练集中各种属性对应的基尼指数中确定最小的基尼指数后；将最小的基尼系数对应的一种属性作为选中属性；结合上述对基尼指数的解释说明可知，与其它属性相比，选中属性对应的个分组的数据混合程度最低，从而有利于从第一训练集中选中属性的角度，准确地分析待验证漏洞的错误率。

在本申请的一些实施例中，所述方法还包括：

在所述选中属性不存在于所述待验证漏洞的属性中时，将第i训练集排除所述选中属性的取值后，得到第i+1训练集；

在i取大于或等于1的整数时，根据第i+1训练集的各种属性对应的基尼指数，在所述第i+1训练集的各种属性中重新确定出所述选中属性。