[发明专利]应用程序审计的数据处理方法、装置和系统

说明书

技术领域

本发明涉及数据处理领域，具体而言，涉及一种应用程序审计的数据处理方法、装置和系统。

背景技术

静态审计是在不运行应用程序的情况下对程序实现进行检查的方法，类型检查、代码风格检查、Bug查找和安全审查等都可通过静态审计实现。静态审计由于采用特征或模式匹配进行检查，存在误报和漏报。误报结果显示在静态审计结果报告中，对静态审计结果报告造成干扰，不方便对静态审计结果报告的查看，导致静态审计系统的用户体验较差。为了提升用户体验，在静态审计系统运营过程，通常会对确认是误报的审计结果报告的内容进行白名单处理，使误报的内容不再出现在审计报告中。

针对静态审计报告中存在误报的内容，现有的白名单方案是根据审计结果内容的特征进行字符串匹配，符合特征的审计结果直接被过滤，即确定该审计结果为误报。例如若审计结果内容包括类型、所在源文件和具体代码内容，白名单规则也包括类型，源文件和代码文本内容，只有符合白名单规则的审计结果才会被过滤。然而，此时白名单方案具有较大的局限性，当白名单规则设置较严格时，若被审计的具体代码内容中一个变量名或方法名被更改，该白名单规则即不凑效。若被审计的具体代码经过混淆处理，源文件名和变量名会因为混淆设置不同而改变，这种情况下，无法使用一个通用的白名单规则对误报的审计结果进行过滤；当白名单规则设置较宽松时，可能导致某些非误报的审计结果被错误过滤，导致现有的白名单方案对过滤误报不准确，从而带来安全隐患。

针对现有技术中滤除审计结果中的误报结果不准确的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种应用程序审计的数据处理方法、装置和系统，以至少解决现有技术中滤除审计结果中的误报结果不准确的问题。

根据本发明实施例的一个方面，提供了一种应用程序审计的数据处理方法，该方法包括：获取对应用程序进行静态审计的原始审计结果；获取预设注释信息，其中，所述预设注释信息为表征所述原始审计结果为误报的信息；通过所述预设注释信息对所述原始审计结果对应的应用程序的源代码进行注释；滤除带有所述预设注释信息的源代码对应的审计结果，得到非误报审计结果；以及输出所述非误报审计结果。

根据本发明实施例的另一方面，还提供了一种应用程序审计的数据处理装置，该装置包括：第一获取单元，用于获取对应用程序进行静态审计的原始审计结果；第二获取单元，用于获取预设注释信息，其中，所述预设注释信息为表征所述原始审计结果为误报的信息；注释单元，用于通过所述预设注释信息对所述原始审计结果对应的应用程序的源代码进行注释；滤除单元，用于滤除带有所述预设注释信息的源代码对应的审计结果，得到非误报审计结果；以及输出单元，用于输出所述非误报审计结果。

根据本发明实施例的又一方面，还提供了一种应用程序审计的数据处理系统，该系统包括：注释添加模块，用于存储预设注释信息，并通过所述预设注释信息对原始审计结果对应的应用程序的代码进行注释；静态审计系统，用于对注释后的应用程序进行静态审计，得到审计结果；以及误报结果过滤模块，用于滤除审计结果中带有所述预设注释信息的源代码对应的审计结果。

在本发明实施例中，采用获取对应用程序进行静态审计的原始审计结果；获取预设注释信息，其中，预设注释信息为表征原始审计结果为误报的信息；通过预设注释信息对原始审计结果对应的应用程序的源代码进行注释；滤除带有预设注释信息的源代码对应的审计结果，得到非误报审计结果；以及输出非误报审计结果，由于预设注释信息仅仅是作为应用程序的源代码的注释，并不是应用程序本身的一部分，因此，即使应用程序的源代码经过混淆处理、某个变量名更改或者方法名更改，并不会修改预设注释信息，该预设注释信息依然能够表征该注释范围内的源代码对应的审计结果为误报的结果，即滤除带有预设注释信息的源代码对应的审计结果不依赖于应用程序本身，从而解决了现有技术中滤除审计结果中的误报结果不准确的技术问题，进而实现了提高滤除审计结果中的误报结果的技术效果。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1所示为一种计算机的结构框图；

图2是根据本发明实施例的应用程序审计的数据处理方法的流程图；

图3是根据本发明实施例的应用程序审计的数据处理方法的模块流程图；

图4是根据本发明实施例的应用程序审计的数据处理方法中得到非误报审计结果的流程图；