[发明专利]一种基于场景数据的源代码安全漏洞自动化审计方法

说明书

本发明公开了一种基于场景数据的源代码安全漏洞自动化审计方法，包括以下步骤：S1、获取检测结果；S2、抽取出与安全漏洞相关的所有场景化信息；S3、抽取出受检应用系统的所有场景化信息；S4、启动审计标记分析引擎，审计标记分析引擎通过场景化信息对检测结果中的安全漏洞信息进行分析；得到每一条安全漏洞的分析数据；S5、将安全漏洞的分析数据与审计标记规则进行匹配，当安全漏洞的分析数据与审计标记规则相匹配时，则说明当前安全漏洞满足审计标记条件，进行标记操作；S6、判断满足审计标记条件的每一条安全漏洞是否需要进行修复，从而得到判定结果；S7、根据判定结果进行分类，最终形成安全漏洞审计标记项数据。

技术领域

本发明涉及信息安全领域，尤其涉及一种基于场景数据的源代码安全漏洞自动化审计方法。

背景技术

随着互联网与信息技术的发展，万物互联、智能化、数字时代已经到来。各种软件应用系统的安全性也越来越受到重视。DevSecOps的理念在软件开发行业全面地普及来面。其中SAST——源代码安全测试工具成为了检测和发现应用系统安全漏洞的重要手段，国内外的SAST的产品也层出不穷。源代码安全测试工具能够全面地发现代码层面的安全漏洞，但也会因为报出来的漏洞种类繁多、数量庞大，动辄几千上万条的漏洞信息让安全审计人员无处下手，大量的重复工作，让审计人员无法进行有效的安全审计，就直接认为工具误报高，检测结果无效，甚至是拒绝使用SAST产品，给软件应用安全保障和安全漏洞修复带来巨大的风险和挑战。

另一方面，在SAST产品中提供了大量的可以用于审计的场景数据，对于漏洞的场景信息，如：漏洞的详细类型、级别、产生的入口点函数、所在的文件名、文件路径、传值的起始函数和过程的函数、传值过程中所有逻辑操作数、检测引擎类型等诸多信息。对于被测试系统的场景信息，如:系统的类型、安全要求级别、质量要求级别、实际应用场景、是否遵循行业标准、有无使用安全验证框架等信息，这些信息都可以很好的判断一个漏洞的危害性、有效性和修复的必要性，但是这些数据信息在目前的审计过程中没有被利用；因此，可以研究一种审计方法，来利用这些场景信息，高效准确地对成千上万的安全漏洞数据进行自动化审计和标记操作，从而提高安全漏洞信息的审计效率。

发明内容

本发明目的是针对上述问题，提出一种用于提高审计效率的，基于场景数据的源代码安全漏洞自动化审计方法。

为了实现上述目的，本发明的技术方案是：

一种基于场景数据的源代码安全漏洞自动化审计方法，包括以下步骤：

S1、获取SAST源代码安全测试产品的检测结果；

S2、获取检测结果中安全漏洞的描述信息，通过对安全漏洞产生的场景进行划分，抽离出与安全漏洞相关的所有场景化信息；

S3、获取受检源代码文件中受检应用系统的相关信息，通过应用系统场景信息抽取引擎从中抽取受检应用系统的所有场景化信息；

S4、启动审计标记分析引擎，审计标记分析引擎通过安全漏洞相关的所有场景化信息和受检应用系统的所有场景化信息，对检测结果中的安全漏洞信息进行分析，得到每一条安全漏洞的分析数据；

S5、制定审计标记规则，将安全漏洞的分析数据与审计标记规则进行匹配，当安全漏洞的分析数据与审计标记规则相匹配时，则说明当前安全漏洞满足审计标记条件，实施对安全漏洞的标记操作；

S6、当所有满足审计标记条件的安全漏洞被标记完成后，判断满足审计标记条件的每一条安全漏洞是否需要进行修复，从而得到判定结果；

S7、将所有满足审计标记条件的安全漏洞，根据判定结果进行分类，最终形成安全漏洞审计标记项数据。