[发明专利]对代码安全性进行可信检查的方法及装置

说明书

本说明书一个或多个实施例提供一种对代码安全性进行可信检查的方法及装置，代码提供方响应于代码需求方发起的远程验证挑战生成针对可信程序的远程验证报告；以及，代码提供方响应于代码需求方发起的代码检查请求加载所述可信程序，使可信程序扫描待检查代码以生成代码检查报告，并利用所述可信程序自身的身份私钥生成用于锚定所述代码检查报告的数字签名；代码需求方基于远程验证报告确认所述可信程序的运行环境是否可信，以及使用可信程序的身份公钥对所述数字签名进行验签，进而根据所述代码检查报告确认所述待检查代码是否安全。

技术领域

本说明书一个或多个实施例涉及代码安全领域，尤其涉及一种对代码安全性进行可信检查的方法及装置。

背景技术

企业在数字化改革进程中，会招募大量的软件外包公司开发应用及信息系统。为了保持公司的竞争力，部分外包软件公司会在向采购方出售应用的同时，对出售应用的源代码进行保密管理。这导致采购方无法对外包公司的源代码进行质量监督和风险管理，甚至会出现外包公司迎检时使用合规代码，上交应用时注入非法代码的情况，为采购方埋下了巨大的安全风险。

发明内容

有鉴于此，本说明书一个或多个实施例提供一种实现可信调度的方法及装置。

为实现上述目的，本说明书一个或多个实施例提供技术方案如下：

根据本说明书一个或多个实施例的第一方面，提出了一种对代码安全性进行可信检查的方法，包括：

代码需求方发起远程验证挑战以及代码检查请求；

代码提供方响应于所述远程验证挑战生成针对可信程序的远程验证报告，所述可信程序由所述代码需求方预先提供并运行于所述代码提供方处的可信执行环境中；以及，代码提供方响应于所述代码检查请求加载所述可信程序，使所述可信程序：扫描待检查代码以生成代码检查报告，并利用所述可信程序自身的身份私钥生成用于锚定所述代码检查报告的数字签名；

代码需求方获取所述远程验证报告和所述代码检查报告，基于所述远程验证报告确认所述可信程序的运行环境是否可信，以及使用所述可信程序的身份公钥对所述数字签名进行验签，在确认所述可信程序的运行环境可信且所述数字签名通过验签的情况下，根据所述代码检查报告确认所述待检查代码是否安全。

根据本说明书一个或多个实施例的第二方面，提出了一种对代码安全性进行可信检查的方法，应用于代码需求方，包括：

发起远程验证挑战以及代码检查请求，使代码提供方响应于所述远程验证挑战生成针对可信程序的远程验证报告，所述可信程序由所述代码需求方预先提供并运行于所述代码提供方处的可信执行环境中；以及，使代码提供方响应于所述代码检查请求加载所述可信程序，使所述可信程序：扫描待检查代码以生成代码检查报告，并利用所述可信程序自身的身份私钥生成用于锚定所述代码检查报告的数字签名；

获取所述远程验证报告和所述代码检查报告，基于所述远程验证报告确认所述可信程序的运行环境是否可信，以及使用所述可信程序的身份公钥对所述数字签名进行验签，在确认所述可信程序的运行环境可信且所述数字签名通过验签的情况下，根据所述代码检查报告确认所述待检查代码是否安全。

根据本说明书一个或多个实施例的第三方面，提出了一种对代码安全性进行可信检查的方法，应用于代码提供方，包括：

响应于代码需求方发起的远程验证挑战生成针对可信程序的远程验证报告，所述可信程序由所述代码需求方预先提供并运行于所述代码提供方处的可信执行环境中，进而使所述代码需求方获取所述远程验证报告，并基于所述远程验证报告确认所述可信程序的运行环境是否可信；