[发明专利]融合黑白灰安全检测技术的应用安全测试方法及系统

说明书

本发明提供了融合黑白灰安全检测技术的应用安全测试方法及系统，运用于软件应用技术领域；获取初步生成的代码工程，基于预设的规则库设定的安全编码要求，对代码工程进行融合黑白灰安全检测，得到检测结果，判断检测结果是否存在漏洞代码；若是，则基于融合黑白灰安全检测，精确定位到漏洞代码的位置，根据预设的漏洞模式库确认漏洞代码对应的至少一个或多个特征，将特征输入至预设的学习模型进行训练，完善学习模型；识别漏洞代码对应的安全编码，基于预设的编码知识库对安全编码进行差异性比对，生成安全编码对应的修正范围；基于学习模型和修正范围对检测结果进行融合、加权和判定引擎，生成检测结果对应的检测报告。

技术领域

本发明涉及软件应用技术领域，特别涉及为融合黑白灰安全检测技术的应用安全测试方法及系统。

背景技术

AST(Application Security Testing)应用安全测试是针对应用安全性进行测试，测试软件在遭到没有授权的内部或者外部用户的攻击/恶意破坏时如何进行处理，从而保证软件和数据的安全，主要包括动态应用测试DAST(Dynamic Application SecurityTesting黑盒安全测试)、静态应用测试SAST(Static Application Security Testing白盒安全测试)、交互式应用测试IAST(Interactive Application Security Testing灰盒安全测试)。

应用安全检测AST的目的是发现漏洞，发现漏洞的目的是修复漏洞，修复漏洞的最终落地点就在于源代码和系统配置、环境的修改，很大一部分修复要精准到源代码、配置某一行，而随着组织机构使用的应用数量不断增长、复杂度不断提高、类型不断多样化，通常应用系统黑白灰检测结果没有打通，无法实现相互佐证和促进，黑白灰各自独立的检测结果没有合并，导致三种检测的结果也不一致，无法得到最精确的结论。

发明内容

本发明旨在解决黑白灰三种检测结果无法相互佐证，无法得到最精确检测结果的问题，提供融合黑白灰安全检测技术的应用安全测试方法及系统。

本发明为解决技术问题采用如下技术手段：

本发明提供融合黑白灰安全检测技术的应用安全测试方法，包括以下步骤：

获取初步生成的代码工程，基于预设的规则库设定的安全编码要求，对所述代码工程进行融合黑白灰安全检测，得到检测结果，其中，所述融合黑白灰安全检测具体为基于预设次序的检测引擎编排，所述检测引擎编排具体为依次采用合规引擎，黑盒专用引擎，白盒专用引擎和灰盒专用引擎对所述代码工程进行检测；

判断所述检测结果是否存在漏洞代码；

若是，则基于所述融合黑白灰安全检测，精确定位到所述漏洞代码的位置，根据预设的漏洞模式库确认所述漏洞代码对应的至少一个或多个特征，将所述特征输入至预设的学习模型进行训练，完善所述学习模型；

识别所述漏洞代码对应的安全编码，基于预设的编码知识库对所述安全编码进行差异性比对，生成所述安全编码对应的修正范围；

基于所述学习模型和所述修正范围对所述检测结果进行融合、加权和判定引擎，生成所述检测结果对应的检测报告。

进一步地，所述则基于所述融合黑白灰安全检测，精确定位到所述漏洞代码的位置的步骤中，包括：

对所述检测结果进行静态应用测试，通过所述白盒专用引擎生成得到至少一个或多个漏洞代码；

将所述至少一个或多个漏洞代码输入至所述灰盒专用引擎，检测得到所述至少一个或多个漏洞代码对应的风险源代码，其中，所述风险源代码包括有风险的代码模块、代码行、调用函数和传递参数；

通过所述黑盒专用引擎对所述风险源代码进行权重赋值，获取所述权重赋值对应的权重数值；

判断所述权重数值是否匹配预设的数值；