[发明专利]一种代码漏洞处理方法与装置有效
| 申请号: | 201910933397.2 | 申请日: | 2019-09-29 |
| 公开(公告)号: | CN110781078B | 公开(公告)日: | 2022-05-31 |
| 发明(设计)人: | 张忠伟 | 申请(专利权)人: | 苏州浪潮智能科技有限公司 |
| 主分类号: | G06F11/36 | 分类号: | G06F11/36 |
| 代理公司: | 北京连和连知识产权代理有限公司 11278 | 代理人: | 陈黎明 |
| 地址: | 215100 江苏省苏州市吴*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 代码 漏洞 处理 方法 装置 | ||
1.一种代码漏洞处理方法,其特征在于,包括以下步骤:
使用代码安全扫描规则分析代码,在所述代码中由所述规则确定的漏洞位置插入用于表达漏洞信息的提示代码,并扫描插入所述提示代码后的所述代码以生成中间文件;
所述提示代码在容器中执行以标注漏洞的位置和类型;
根据所述提示代码提供的信息对所述中间文件中的漏洞执行业务测试包括:根据标注的漏洞的位置和类型执行针对漏洞对业务运行影响的所述业务测试;
在容器中发布所述中间文件,根据所述提示代码提供的信息对所述中间文件中的漏洞执行业务测试以获得相应的业务处理意见,并将所述业务处理意见回写到所述中间文件的漏洞位置;
分析回写过的所述中间文件,根据所述提示代码和相应的所述业务处理意见确定漏洞的业务关联关系,并根据所述业务关联关系确定漏洞的处理优先级;
所述获得相应的所述业务处理意见包括:
通过交互接口直接录入相应的所述业务处理意见、或额外地生成指明漏洞位置的所述业务处理意见。
2.根据权利要求1所述的方法,其特征在于,扫描插入提示代码后的所述代码包括:
直接扫描插入所述提示代码后的所述代码本身、和/或先编译插入所述提示代码后的所述代码再执行扫描。
3.根据权利要求1所述的方法,其特征在于,根据所述业务关联关系确定漏洞的处理优先级还包括:进一步地确定漏洞修复方法。
4.一种代码漏洞处理装置,其特征在于,包括:
处理器;和
存储器,存储有处理器可运行的程序代码,所述程序代码在被运行时执行以下步骤:
使用代码安全扫描规则分析代码,在所述代码中由所述规则确定的漏洞位置插入用于表达漏洞信息的提示代码,并扫描插入所述提示代码后的所述代码以生成中间文件;
所述提示代码在容器中执行以标注漏洞的位置和类型;
根据所述提示代码提供的信息对所述中间文件中的漏洞执行业务测试包括:根据标注的漏洞的位置和类型执行针对漏洞对业务运行影响的所述业务测试;
在容器中发布所述中间文件,根据所述提示代码提供的信息对所述中间文件中的漏洞执行业务测试以获得相应的业务处理意见,并将所述业务处理意见回写到所述中间文件的漏洞位置;
分析回写过的所述中间文件,根据所述提示代码和相应的所述业务处理意见确定漏洞的业务关联关系,并根据所述业务关联关系确定漏洞的处理优先级;
所述获得相应的所述业务处理意见包括:
通过交互接口直接录入相应的所述业务处理意见、或额外地生成指明漏洞位置的所述业务处理意见。
5.根据权利要求4所述的装置,其特征在于,扫描插入提示代码后的所述代码包括:
直接扫描插入所述提示代码后的所述代码本身、和/或先编译插入所述提示代码后的所述代码再执行扫描。
6.根据权利要求4所述的装置,其特征在于,根据所述业务关联关系确定漏洞的处理优先级还包括:进一步地确定漏洞修复方法。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于苏州浪潮智能科技有限公司,未经苏州浪潮智能科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910933397.2/1.html,转载请声明来源钻瓜专利网。
