[发明专利]一种提升代码安全检测效率的方法、装置、计算机设备、和可读存储介质

说明书

本发明公开了一种提升代码安全检测效率的方法、装置、计算机设备和可读存储介质，所述的方法包括：接收安全检测请求信息，并将安全检测请求信息存储在缓存队列中；所述的安全检测请求信息包括项目地址、检测代码库名称、检测分支名称和检测提交标识；根据安全检测请求信息中对该安全检测请求进行分流；根据分流结果、入队时间和安全代码检测引擎工作状态将不同的安全检测请求分发到指定的代码安全检测引擎进行安全检测；将安全检测结果进行解析处理后进行展示。

技术领域

本发明涉及代码安全检测技术领域，特别涉及一种提升代码安全检测效率的的方法、装置、计算机设备和可读存储介质。

背景技术

近年来开放银行的概念越来越普遍，无论是新成立的互联网银行还是传统商业银行，都在积极拥抱开放银行的理念。在信息系统建设方面，金融机构开始从基于瀑布式的研发模式逐渐转变到基于CI/CD(Continuous Integration/Continuous Delivery,持续集成/持续交付)的DevOps(DevelopmentOperations，过程、方法与系统的融合)模式。银行作为持有金融牌照的特许经营机构，对于软件代码安全有着非常高的要求。传统的瀑布开发模式，由于上线发布周期相对较慢，系统研发部门可以安排足够的安全测试人员使用商业代码安全检测软件来对于待发布版本的代码进行安全检测，但由于人工处理相对较慢，一般也只对重要版本做代码安全检测，很多小版本分支则缺少这一环节。对于已经开始采用DevOps平台做持续集成、持续交付的互联网企业，由于没有商业银行的强监管要求，通常都是采用开源的静态代码检测工具而非昂贵的商业代码安全检测引擎来实现基本的安全检测，而这类检测工具的准确度远不如商业代码安全检测引擎。而学术界的代码安全检测则更多集中在代码数据流分析、污点分析这个方向，无法解决工业界遇到的快速迭代、快速检测的问题。

因此对于商业银行或者金融机构，如何利用好已有如商业代码安全检测引擎做到在持续迭代、快速发布中的代码安全检测是一个重要问题。

现有技术多是采用开源的一些工具去检测代码开发规范中的问题，但由于源代码安全检测具有极强的技术壁垒，互联网公司更多地关注于如何优化检测结果、解决误报的问题，没有足够的资源去采购大量的商业代码安全检测引擎来实施代码安全检测，因此虽然互联网公司可以做到持续集成、高速迭代，但是由于无强监管的要求，相对不会采用昂贵的商业代码安全检测引擎来检测项目质量。对于选择采用主流商业代码安全检测引擎的银行、非银金融机构来说，更多的是依赖安全工程师去定期检测系统代码来做代码安全检测，很多甚至会购买人工服务来实施代码安全审计。这种做法只能支撑部分重点项目，对于非重点项目、非重要版本多有遗漏。但是安全无小事，特别是对于开放银行来说，任何一个发布版本带有代码安全问题都是致命的，而又因为成本的考量，不会采购大量的代码安全检测引擎来使用，因此传统金融机构的做法也不足以解决开放银行目前面临的代码安全检测问题。急切需要一种方法来解决代码安全检测引擎少而代码安全检测请求多的问题，本方案就是基于此提出的。

发明内容

针对现有的代码安全检测技术存在的应用受限、成本高昂等缺陷，本发明公开了一种提升代码安全检测效率的的方法、装置、计算机设备和可读存储介质。

本发明所公开的提升代码安全检测效率的方法包括：

接收安全检测请求信息，并将安全检测请求信息存储在缓存队列中；所述的安全检测请求信息包括项目地址、检测代码库名称、检测分支名称和检测提交标识；

根据安全检测请求信息对该安全检测请求进行分流；

根据分流结果、入队时间和安全代码检测引擎工作状态将不同的安全检测请求分发到指定的代码安全检测引擎进行安全检测；

将安全检测结果进行解析处理后进行展示。

本发明所公开的提升代码安全检测效率的装置包括：