[发明专利]漏洞扫描方法及相关装置

说明书

本发明的实施例涉及计算机安全技术领域，提供了一种漏洞扫描方法及相关装置，所述方法包括：获取测试设备运行测试用例时发送的访问被测系统的访问请求消息及被测系统针对访问请求消息反馈的响应消息；依据访问请求消息、响应消息及预先存储的规则库对被测系统进行主动漏洞扫描，生成主动漏洞扫描结果，其中，规则库中的规则是预先从预设漏洞信息平台上获取并存储于本地的。通过基于CI环境中运行测试用例时实际产生的访问请求消息及响应消息对被测系统进行主动漏洞扫描，同时采用更丰富的规则库及容器化运行方式，极大地降低了漏报和误报率。

技术领域

本发明涉及计算机安全技术领域，具体而言，涉及一种漏洞扫描方法及相关装置。

背景技术

持续集成CI(Continuous Integration，CI)，是一种软件开发实践，在实践中指只要代码有变更，就自动运行构建、单元测试，集成，全面测试，最终反馈运行结果。CI因具备快速暴露错误，保证代码提交质量、降低整体集成风险，促进产品快速迭代等优势在敏捷开发中被广泛应用。

在CI环境下，为了对运行变更后的代码的系统的安全性持续进行安全评估，及时发现运行变更后的代码的系统中存在的安全漏洞，现有技术通常将开源漏洞扫描软件集成在CI环境中，以便对更新后的系统进行漏洞扫描，及时发现其中的安全漏洞。但是开源漏洞扫描软件由于只是基于模拟访问请求消息及响应消息进行的分析，并不是对实际产生的访问请求消息及响应消息进行的分析而实现的漏洞扫描，因而存在较高的漏报和误报率。

发明内容

有鉴于此，本发明的目的在于提供了一种漏洞扫描方法及相关装置，通过基于CI环境中运行测试用例时实际产生的访问请求消息及响应消息对被测系统进行主动漏洞扫描，降低了漏报和误报率。

为了实现上述目的，本申请实施例采用的技术方案如下：

第一方面，本发明实施例提供一种漏洞扫描方法，应用于持续集成环境中的扫描服务器，持续集成环境中存在集成构建设备、测试设备及被测系统，扫描服务器与测试设备及被测系统均通信连接，被测系统运行有因集成构建设备中的代码被更新而触发代码构建以得到的可运行软件，测试设备运行有用于测试被测系统的测试用例，测试设备预先将扫描服务器设置为访问被测系统的代理，所述方法包括：获取测试设备运行测试用例时发送的访问被测系统的访问请求消息及被测系统针对访问请求消息反馈的响应消息；依据访问请求消息、响应消息及预先存储的规则库对被测系统进行主动漏洞扫描，生成主动漏洞扫描结果，其中，规则库中的规则是预先从预设漏洞信息平台上获取并存储于本地的。

第二方面，本发明实施例提供一种漏洞扫描装置，应用于持续集成环境中的扫描服务器，持续集成环境中存在集成构建设备、测试设备及被测系统，扫描服务器与测试设备及被测系统均通信连接，被测系统运行有因集成构建设备中的代码被更新而触发代码构建以得到的可运行软件，测试设备运行有用于测试被测系统的测试用例，测试设备预先将扫描服务器设置为访问被测系统的代理，装置包括主动扫描模块，主动扫描模块用于：获取测试设备运行测试用例时发送的访问被测系统的访问请求消息及被测系统针对访问请求消息反馈的响应消息；依据访问请求消息、响应消息及预先存储的规则库对被测系统进行主动漏洞扫描，生成主动漏洞扫描结果，其中，规则库中的规则是预先从预设漏洞信息平台上获取并存储于本地的。

第三方面，本发明实施例提供一种扫描服务器，所述扫描服务器包括：一个或多个处理器；存储器，用于存储一个或多个程序，当一个或多个程序被一个或多个处理器执行时，使得一个或多个处理器实现如前述的漏洞扫描方法。