[发明专利]一种代码安全扫描方法、代码安全扫描系统及存储介质在审
| 申请号: | 202011528489.1 | 申请日: | 2020-12-22 |
| 公开(公告)号: | CN112560048A | 公开(公告)日: | 2021-03-26 |
| 发明(设计)人: | 赵铭;林圳杰;严志华 | 申请(专利权)人: | 南方电网深圳数字电网研究院有限公司 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57 |
| 代理公司: | 广州嘉权专利商标事务所有限公司 44205 | 代理人: | 邓建辉 |
| 地址: | 518000 广东省深圳市南山区沙河街道高*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 代码 安全 扫描 方法 系统 存储 介质 | ||
1.一种代码安全扫描方法,其特征在于,包括以下步骤:
依据现有漏洞数据库和漏洞危害程度构建漏洞处理优先级表;
检测是否有第三方包上传至Artifactory端;
通过代码安全检测工具扫描所述第三方包中待处理代码漏洞,并获取相应的待处理代码漏洞名称;
依据所述漏洞处理优先级表和所述待处理代码漏洞名称处理所述待处理代码漏洞。
2.根据权利要求1所述的代码安全扫描方法,其特征在于,所述代码安全检测工具采用JFrog XRAY组件。
3.根据权利要求2所述的代码安全扫描方法,其特征在于,所述漏洞处理优先级表包括多个在库漏洞名称以及与多个所述在库漏洞名称对应的多个优先处理等级;多个所述优先处理等级分别为:高危漏洞、一般漏洞、轻微漏洞。
4.根据权利要求3所述的代码安全扫描方法,其特征在于,所述依据所述漏洞处理优先级表和所述待处理代码漏洞名称处理多个所述待处理代码漏洞包括以下步骤:
依据多个所述待处理代码漏洞名称扫描所述漏洞处理优先级表,并获取与多个所述待处理代码漏洞名称对应的多个在库漏洞名称;
获取多个所述在库漏洞名称对应的优先处理等级,生成漏洞待处理文件信息表;
将所述漏洞待处理文件信息表传输至漏洞处理端。
5.根据权利要求2所述的代码安全扫描方法,其特征在于,还包括以下步骤:
依据产品名称与技术责任人信息的对应关系构建通知地址表;
通过所述JFrog XRAY组件获取所述第三方包的来源,并由该来源获取问题产品信息;
扫描所述通知地址表中与所述问题产品信息一致的产品名称,如果有,则获取技术责任人信息,并根据所述技术责任人信息通知到对应的漏洞处理端。
6.根据权利要求5所述的代码安全扫描方法,其特征在于,还包括以下步骤:
扫描所述通知地址表中与所述问题产品信息一致的产品名称,如果没有,则在所述通知地址表中创建新条目,并通知漏洞综合处理端。
7.一种代码安全扫描系统,其特征在于,包括:
数据库,其内置有漏洞数据库、以及依据所述漏洞数据库和漏洞危害程度构建的漏洞处理优先级表;
代码安全检测工具,用于检测上传至Artifactory端中的第三方包中待处理代码漏洞,并获取相应的待处理代码漏洞名称;
漏洞处理模块,用于依据所述漏洞处理优先级表和所述待处理代码漏洞名称处理所述待处理代码漏洞。
8.根据权利要求7所述的代码安全扫描系统,其特征在于,所述代码安全检测工具采用JFrog XRAY组件。
9.根据权利要求8所述的代码安全扫描系统,其特征在于,还包括溯源单元和漏洞通知单元;所述数据库中内置有依据产品名称与技术责任人信息的对应关系构建通知地址表;所述溯源单元用于通过所述JFrog XRAY组件获取所述第三方包的来源并由该来源获取问题产品信息;所述漏洞通知单元用于扫描所述通知地址表中与所述问题产品信息一致的产品名称,并根据对应的所述技术责任人信息通知到对应的漏洞处理端。
10.一种计算机可读存储介质,其特征在于:所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使计算机执行如权利要求1至6任一所述的一种代码安全扫描方法。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于南方电网深圳数字电网研究院有限公司,未经南方电网深圳数字电网研究院有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011528489.1/1.html,转载请声明来源钻瓜专利网。
