[发明专利]一种漏洞有效性预测的方法和系统在审
| 申请号: | 202010472758.0 | 申请日: | 2020-05-28 |
| 公开(公告)号: | CN111783098A | 公开(公告)日: | 2020-10-16 |
| 发明(设计)人: | 张忠伟 | 申请(专利权)人: | 苏州浪潮智能科技有限公司 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57;G06F21/56 |
| 代理公司: | 济南诚智商标专利事务所有限公司 37105 | 代理人: | 李修杰 |
| 地址: | 215100 江苏省苏州市吴*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 漏洞 有效性 预测 方法 系统 | ||
1.一种漏洞有效性预测的方法,其特征在于,包括以下步骤:
通过新增、修改或者删除配置重新定义漏洞有效性等级;
通过制定的判断漏洞有效性等级的规则对代码安全扫描结果进行有效性等级判定;
将有效果等级判定的结果展示在代码安全扫描结果中。
2.根据权利要求1所述的一种漏洞有效性预测的方法,其特征在于,所述漏洞有效性等级的内容为漏洞误报的程度,以及对漏洞误报的程度进行分级。
3.根据权利要求1所述的一种漏洞有效性预测的方法,其特征在于,所述通过新增、修改或者删除配置,重新定义漏洞有效性等级包括:
对注释中扫描出的漏洞,有效性判定为误报;
未提供依赖库的函数,有效性判定为误报;
在代码中扫描出的漏洞,有效性判定为高;
将代码有效性的等级进行反向配置。
4.根据权利要求3所述的一种漏洞有效性预测的方法,其特征在于,对于输入值校验相关的漏洞,首先判断输入值来源;如果输入值来自函数本身,则漏洞的有效性判定为非误报;如果输入值引用未发现的函数,则漏洞的有效性判定为误报。
5.根据权利要求1所述的一种漏洞有效性预测的方法,其特征在于,所述在有效性等级判定之后,所述判定标识跟随扫描结果进行持久化。
6.根据权利要求1所述的一种漏洞有效性预测的方法,其特征在于,所述代码安全扫描结果包括在页面或者窗口中可见部分的扫描结果和在页面或者窗口中不可见却存在有效性等级标识的扫描结果。
7.一种漏洞有效性预测的系统,其特征在于,包括有效性规则制定模块、有效性规则匹配模块和有效性结果展示模块;
所述有效性规则制定模块用于通过新增、修改或者删除配置重新定义漏洞有效性等级;
所述有效性规则匹配模块用于根据有效性规则制定模块制定的判断漏洞有效性的规则对代码安全扫描结果进行有效性等级判定;
所有有效性结果展示模块用于将有效果等级判断的结果展示在代码安全扫描结果中。
8.根据权利要求7所述的一种漏洞有效性预测的系统,其特征在于,所述有效性规则制定模块包括:第一判定模块、第二判定模块、第三判定模块和配置模块;
所述第一判定模块用于对注释中扫描出的漏洞,有效性判定为误报;
所述第二判定模块用于对未提供依赖库的函数,有效性判定为误报;
所述第三判定模块用于在代码中扫描出的漏洞,有效性判定为高;
所述配置模块用于将代码有效性的等级进行反向配置。
9.根据权利要求7所述的一种漏洞有效性预测的系统,其特征在于,所述有效性规则制定模块还包括第四判定模块;
所述第四判定模块用于对于输入值校验相关的漏洞,首先判断输入值来源;如果输入值来自函数本身,则漏洞的有效性判定为非误报;如果输入值引用未发现的函数,则漏洞的有效性判定为误报。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于苏州浪潮智能科技有限公司,未经苏州浪潮智能科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010472758.0/1.html,转载请声明来源钻瓜专利网。
