[发明专利]一种静态代码扫描方法和装置

权利要求书

1.一种静态代码扫描方法，其中，该方法包括：

获取待扫描的安卓应用的源代码；

调用多个代码扫描引擎分别对所述源代码进行扫描，得到所述多个代码扫描引擎分别输出的扫描结果报告；其中，所述多个代码扫描引擎分别根据不同的扫描规则进行代码扫描；

根据所述代码扫描引擎输出的多份扫描结果报告整合出最终的扫描结果报告。

2.如权利要求1所述的方法，其中，

所述获取待扫描的安卓应用的源代码包括：接收通过前端页面输入的安卓应用的源代码的路径信息；

根据所述源代码的路径信息，从代码服务器获取所述源代码。

3.如权利要求2所述的方法，其中，该方法进一步包括：

接收通过前端页面输入的代码权限信息；

根据所述代码权限信息登录所述代码服务器后，再根据所述源代码的路径信息从代码服务器获所述源代码。

4.如权利要求1所述的方法，其中，

所述多个代码扫描引擎分别根据自身固有代码漏洞扫描规则进行代码扫描，且不同的代码扫描引擎具有不同的固有代码漏洞扫描规则。

5.如权利要求4所述的方法，其中，在调用多个代码扫描引擎分别对所述源代码进行扫描之前，该方法进一步包括：

为所述多个代码扫描引擎中的至少一个下发预设控制规则；所述预设控制规则限制相应代码扫描引擎在进行代码扫描时只可使用其固有代码漏洞扫描规则中的指定的一个或多个。

6.如权利要求5所述的方法，其中，该方法进一步包括：

根据代码扫描引擎性能优劣表，为不同的代码扫描引擎确定不同的预设控制规则；

所述代码扫描引擎性能优劣表中保存了各类代码扫描引擎的扫描优势信息和扫描劣势信息。

7.如权利要求1所述的方法，其中，各代码扫描引擎的扫描规则包括如下中的一种或多种：

判断敏感信息是否保存在非安全对象中/在日志中输出，是则判定源代码中存在安全隐患；

判断重写的函数是否使用了指定函数进行过滤，否则判定源代码中存在漏洞；

判断源代码中是否包含不安全的函数，是则判定源代码中存在漏洞；

判断可导出组件的数量是否超过预设值，是则判定源代码中存在安全隐患；

判断组件权限是否过低，是则判定源代码中存在安全隐患。

8.如权利要求1所述的方法，其中，该方法进一步包括：

接收通过前端页面输入的最终的扫描结果报告的输出方式配置信息；

根据所述输出方式配置信息，将所述最终的扫描结果报告以指定输出方式输出。

9.一种静态代码扫描装置，其中，该装置包括：

获取单元，适于获取待扫描的安卓应用的源代码；

扫描单元，适于调用多个代码扫描引擎分别对所述源代码进行扫描，得到所述多个代码扫描引擎分别输出的扫描结果报告；其中，所述多个代码扫描引擎分别根据不同的扫描规则进行代码扫描；

整合单元，适于根据所述代码扫描引擎输出的多份扫描结果报告整合出最终的扫描结果报告。

10.如权利要求9所述的装置，其中，

所述获取单元，适于接收通过前端页面输入的安卓应用的源代码的路径信息；根据所述源代码的路径信息，从代码服务器获取所述源代码。