[发明专利]一种代码漏洞处理方法与装置

说明书

本发明公开了一种代码漏洞处理方法与装置，包括：使用代码安全扫描规则分析代码，在代码中由规则确定的漏洞位置插入用于表达漏洞信息的提示代码，并扫描插入提示代码后的代码以生成中间文件；在容器中发布中间文件，根据提示代码提供的信息对中间文件中的漏洞执行业务测试以获得相应的业务处理意见，并将业务处理意见回写到中间文件的漏洞位置；分析回写过的中间文件，根据提示代码和相应的业务处理意见确定漏洞的业务关联关系，并根据业务关联关系确定漏洞的处理优先级。本发明能够明确代码漏洞与实际业务的关联关系，提高漏洞处理效率。

技术领域

本发明涉及代码安全领域，更具体地，特别是指一种代码漏洞处理方法与装置。

背景技术

代码安全扫描指的是通过特定的规则，对代码进行安全漏洞检查的一种方法，通过该方法可以发现代码中存在的安全漏洞，并提供修改建议，在开发过程中即可发现安全漏洞并进行修改。目前对于代码安全漏洞的处理方法主要是通过对扫描结果进行人工分析，针对扫描出来的漏洞对应代码进行分析，来判断该处是否具有漏洞，虽然能够直接进行修复或者判定为误报，但是在代码安全漏洞很多的情况下，无法判断漏洞的优先级，只能根据工具提供的漏洞级别进行修改，而且在代码量很大的情况下，单一的研发人员无法得治存在漏洞的代码对应的具体业务是什么，无法得知修改之后对于业务的影响是什么，修改起来比较盲目，如果一一确认的话，有需要花费大量的时间，效率很低。

针对现有技术中代码安全扫描的业务关系混乱、耗时长效率低的问题，目前尚无有效的解决方案。

发明内容

有鉴于此，本发明实施例的目的在于提出一种代码漏洞处理方法与装置，能够明确代码漏洞与实际业务的关联关系，提高漏洞处理效率。

基于上述目的，本发明实施例的第一方面提供了一种代码漏洞处理方法，包括执行以下步骤：

使用代码安全扫描规则分析代码，在代码中由规则确定的漏洞位置插入用于表达漏洞信息的提示代码，并扫描插入提示代码后的代码以生成中间文件；

在容器中发布中间文件，根据提示代码提供的信息对中间文件中的漏洞执行业务测试以获得相应的业务处理意见，并将业务处理意见回写到中间文件的漏洞位置；

分析回写过的中间文件，根据提示代码和相应的业务处理意见确定漏洞的业务关联关系，并根据业务关联关系确定漏洞的处理优先级。

在一些实施方式中，扫描插入提示代码后的代码包括：直接扫描插入提示代码后的代码本身、和/或先编译插入提示代码后的代码再执行扫描。

在一些实施方式中，提示代码在容器中执行以标注漏洞的位置和类型；根据提示代码提供的信息对中间文件中的漏洞执行业务测试包括：根据标注的漏洞的位置和类型执行针对漏洞对业务运行影响的业务测试。

在一些实施方式中，获得相应的业务处理意见包括：通过交互接口直接录入相应的业务处理意见、或额外地生成指明特定漏洞位置的业务处理意见。

在一些实施方式中，根据业务关联关系确定漏洞的处理优先级还包括：进一步地确定漏洞修复方法。

本发明实施例的第二方面提供了一种代码漏洞处理装置，包括：

处理器；和

存储器，存储有处理器可运行的程序代码，程序代码在被运行时执行以下步骤：

使用代码安全扫描规则分析代码，在代码中由规则确定的漏洞位置插入用于表达漏洞信息的提示代码，并扫描插入提示代码后的代码以生成中间文件；

在容器中发布中间文件，根据提示代码提供的信息对中间文件中的漏洞执行业务测试以获得相应的业务处理意见，并将业务处理意见回写到中间文件的漏洞位置；

分析回写过的中间文件，根据提示代码和相应的业务处理意见确定漏洞的业务关联关系，并根据业务关联关系确定漏洞的处理优先级。