[发明专利]一种基于场景数据的源代码安全漏洞自动化审计方法

权利要求书

1.一种基于场景数据的源代码安全漏洞自动化审计方法，其特征在于：包括以下步骤：

S1、获取SAST源代码安全测试产品的检测结果；

S2、获取检测结果中安全漏洞的描述信息，通过对安全漏洞产生的场景进行划分，抽离出与安全漏洞相关的所有场景化信息；

S3、获取受检源代码文件中有关应用系统的相关信息，通过应用系统场景信息抽取引擎从中抽取受检应用系统的所有场景化信息；

S4、启动审计标记分析引擎，审计标记分析引擎通过安全漏洞相关的所有场景化信息和受检应用系统的所有场景化信息，对检测结果中的安全漏洞信息进行分析，得到每一条安全漏洞的分析数据；

S5、制定审计标记规则，将安全漏洞的分析数据与审计标记规则进行匹配，当安全漏洞的分析数据与审计标记规则相匹配时，则说明当前安全漏洞满足审计标记条件，实施对安全漏洞的标记操作；

S6、当所有满足审计标记条件的安全漏洞被标记完成后，判断满足审计标记条件的每一条安全漏洞是否需要进行修复，从而得到判定结果；

S7、将所有满足审计标记条件的安全漏洞，根据判定结果进行分类，最终形成安全漏洞审计标记项数据。

2.如权利要求1所述的基于场景数据的源代码安全漏洞自动化审计方法，其特征在于：所述步骤S2中，与安全漏洞相关的所有场景化信息包括但不限于：漏洞种类、漏洞类型、漏洞级别、漏洞所在目录、漏洞所在文件、漏洞起始位置的函数名、漏洞传值过程函数名列表、漏洞传值过程中所有逻辑操作的数量、用于发现该漏洞的分析引擎名称、用于分析得出该漏洞的规则ID。

3.如权利要求2所述的基于场景数据的源代码安全漏洞自动化审计方法，其特征在于：所述步骤S3中，受检应用系统的所有场景化信息包括但不限于：系统类型、系统的安全级别、系统遵循的安全标准、系统的应用范围、系统的开发框架、系统是否有统一的外部数据验证机制、系统是否有最后一次上线前测试、系统的数据库数据是否为可信任数据、系统的环境变量数据是否为可信任数据、系统是否遵循国家商用密码要求。

4.如权利要求3所述的基于场景数据的源代码安全漏洞自动化审计方法，其特征在于：所述步骤S2中对抽取出与安全漏洞相关的所有场景化信息，以及步骤S3中抽取出受检应用系统的所有场景化信息，均存储为键-值格式。

5.如权利要求4所述，基于场景数据的源代码安全漏洞自动化审计方法，其特征在于：所述步骤S7中，安全漏洞审计标记项数据包括审计项和标记项，审计项根据对安全漏洞的处理方式可简要分类为：有缓解措施、不需要修复、需要修复、可以利用、误报；标记项包括忽略、暂时忽略、在一定时间内完成修复、马上修复。