[发明专利]应用安全审计方法、装置、电子设备及存储介质

说明书

本发明实施例公开了一种应用安全审计方法、装置、电子设备及存储介质，该方法包括：对应用代码进行扫描，得到第一代码扫描结果；配置用于代码审计的辅助审计规则；按照所述辅助审计规则对所述第一代码扫描结果进行筛选，得到用于人工审计的第二代码扫描结果；当接收到针对所述第二代码扫描结果的代码审计结果时，输出所述代码审计结果。因此，本发明实现了对人工审计的辅助审计，减少了人工审计的时间和大量误报，提高了应用安全审计的效率。

技术领域

本发明涉及计算机安全技术领域，具体涉及一种应用安全审计方法、装置、电子设备及存储介质。

背景技术

代码审计是属于高级渗透测试服务，是一种以发现程序错误、安全漏洞和违反程序编码规范的源代码分析方法。目前，人工源代码审计已经成为真正保障软件源代码设计、开发和应用的底层最佳保障。但是，现有的代码安全审计系统，很多存在大量的系统误报，其规则内置也不利于对于企业自身特色系统的检测扫描。

发明内容

由于现有方法存在上述问题，本发明实施例提出一种应用安全审计方法、装置、电子设备及存储介质

第一方面，本发明实施例提供一种应用安全审计方法，包括：

对应用代码进行扫描，得到第一代码扫描结果；

配置用于代码审计的辅助审计规则；

按照所述辅助审计规则对所述第一代码扫描结果进行筛选，得到用于人工审计的第二代码扫描结果；

当接收到针对所述第二代码扫描结果的代码审计结果时，输出所述代码审计结果。

可选地，所述对应用代码进行扫描，得到第一代码扫描结果，包括：

配置用于代码扫描的安全扫描规则；

基于所述安全扫描规则对应用代码进行扫描，得到第一代码扫描结果。

可选地，所述安全扫描规则是针对以下至少一方面的规则：

数据流分析；

控制流分析；

语义分析；

配置分析；

结构分析。

可选地，所述应用代码包括针对一种或多种开发语言的代码。

可选地，所述辅助审计规则中包括一种或多种自定义规则。

可选地，所述按照所述辅助审计规则对所述第一代码扫描结果进行筛选，得到用于人工审计的第二代码扫描结果，包括：

从所述第一代码扫描结果中筛选出符合各个所述辅助审计规则的指定内容；

将所述第一代码扫描结果中除了所述指定内容之外的其他内容确定为所述第二代码扫描结果。

可选地，还包括：

根据预设漏洞库和预设审计资源，确定所述代码审计结果中各个漏洞对应的修复方式。

第二方面，本发明实施例提供一种应用安全审计装置，包括：

代码扫描模块，用于对对应用代码进行扫描，得到第一代码扫描结果；

规则配置模块，用于配置用于代码审计的辅助审计规则；

审计模块，用于按照所述辅助审计规则对所述第一代码扫描结果进行筛选，得到用于人工审计的第二代码扫描结果；

输出模块，用于当接收到针对所述第二代码扫描结果的代码审计结果时，输出所述代码审计结果。

可选地，所述对应用代码进行扫描，得到第一代码扫描结果，包括：