[发明专利]软件开发工具包的风险评估方法、装置、设备及介质在审
| 申请号: | 202111526819.8 | 申请日: | 2021-12-14 |
| 公开(公告)号: | CN114186242A | 公开(公告)日: | 2022-03-15 |
| 发明(设计)人: | 王麒麟;金驰;叶红;钱维正 | 申请(专利权)人: | 中国工商银行股份有限公司 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57;G06F21/56 |
| 代理公司: | 中科专利商标代理有限责任公司 11021 | 代理人: | 樊晓 |
| 地址: | 100140 北*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 软件 开发 工具包 风险 评估 方法 装置 设备 介质 | ||
本公开提供了一种软件开发工具包的风险评估方法、装置、设备及介质,可以应用于信息安全技术领域,也可以应用于人工智能技术领域。该软件开发工具包的风险评估方法包括:扫描软件开发工具包的静态接口调用的代码文件,确定第一风险函数信息;通过执行测试程序,从软件开发工具包的动态接口调用日志中,确定第二风险函数信息,其中,测试程序是利用代码模板生成的能够实现软件开发工具包功能的测试程序;提取第一风险函数信息的第一特征信息和第二风险函数的第二特征信息;将第一特征信息和第二特征信息输入风险评估模型,输出风险评估结果信息。
技术领域
本公开涉及信息安全技术领域,具体地涉及一种软件开发工具包 的风险评估方法、装置、设备、介质和程序产品。
背景技术
目前,由于应用软件中诸如人脸识别、证件识别等功能组件主要 依赖于第三方服务提供商,导致大量用户数据采集、存储、传输、使 用过程处于不受控的状态,存在用户信息被泄漏的风险。
由于第三发服务提供商的软件开发工具包一般会采取混淆、加固 的安全措施,使应用软件的开发者对第三方服务商提供的软件开发工 具包的内部逻辑、采集信息类别和安全机制无法了解,导致较难实现 对应用集成的软件开发工具包进行风险评估和监管。
发明内容
鉴于上述问题,本公开提供了提高了一种软件开发工具包的风险 评估方法、装置、设备、介质和程序产品。
根据本公开的第一个方面,提供了一种软件开发工具包的风险评 估方法,包括:
扫描软件开发工具包的静态接口调用的代码文件,确定第一风险 函数信息;
通过执行测试程序,从软件开发工具包的动态接口调用日志中, 确定第二风险函数信息,其中,测试程序是利用代码模板生成的能够 实现软件开发工具包功能的测试程序;
提取第一风险函数信息的第一特征信息和第二风险函数的第二 特征信息;以及
将第一特征信息和第二特征信息输入风险评估模型,输出风险评 估结果信息。
根据本公开的实施例,第一特征信息、第二特征信息均包括以下 至少之一:
风险函数签名信息、风险函数序列信息、风险函数参数信息。
根据本公开的实施例,上述方法还包括:通过分析代码文件,确 定多个软件开发工具包的静态接口之间的调用关系;
在第一静态接口调用第二静态接口的情况下,针对第一静态接口 的方法信息,利用代码模板生成测试程序。
根据本公开的实施例,上述方法还包括:在风险评估结果信息超 过预设阈值的情况下,将风险评估结果信息和软件开发工具包的版本 信息存储至软件开发工具包信息数据库中。
根据本公开的实施例,上述方法还包括:响应于针对目标软件开 发工具包的风险评估请求,根据目标软件开发工具包的版本信息,从 软件开发工具包信息数据库中查询目标软件开发工具包的风险评估 结果信息。
根据本公开的实施例,上述方法还包括:
获取风险函数样本数据集,其中,风险函数样本数据集中包括多 条风险函数样本数据,每一条风险函数样本数据包括风险函数签名数 据、风险函数序列数据、风险函数参数数据;
从风险函数样本数据集中提取风险函数的特征数据集;
利用特征数据集训练预设模型,得到风险评估模型。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国工商银行股份有限公司,未经中国工商银行股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111526819.8/2.html,转载请声明来源钻瓜专利网。
