[发明专利]目标应用的安全测试方法及其装置、电子设备及存储介质

权利要求书

1.一种目标应用的安全测试方法，其特征在于，包括：

接收对目标应用进行安全测试的测试任务，其中，所述测试任务包括预先配置的工具信息和测试基础信息，所述测试基础信息至少包括：测试时间点和目标应用的应用标识；

响应所述测试任务，接入与所述工具信息对应的多个安全检测工具；

在到达所述测试时间点的情况下，调度所述安全检测工具分别扫描所述目标应用，得到多份检测报告；

分析所述多份检测报告中的展现要素信息，得到应用测试结果。

2.根据权利要求1所述的安全测试方法，其特征在于，在接收对目标应用进行安全测试的测试任务之前，还包括：

接收任务创建指令，并响应所述任务创建指令，创建初始测试任务；

接收所述应用标识、所述测试时间点以及工具选取指令，生成所述测试任务，其中，所述工具选取指令为在客户端界面展示所有的安全检测工具的工具简介后，接收到的外部工具所选取的工具指令。

3.根据权利要求1所述的安全测试方法，其特征在于，响应所述测试任务，接入与所述工具信息对应的多个安全检测工具的步骤，包括：

基于所述工具信息，确定每个待接入的安全检测工具的工具环境配置和服务参数配置；

基于每个待接入的安全检测工具的所述工具环境配置和所述服务参数配置，采用预先配置的安全工具启动接口，分别接入多个安全检测工具。

4.根据权利要求1至3中任意一项所述的安全测试方法，其特征在于，所述多个安全检测工具包括：

静态应用安全检测服务工具，通过扫描所述目标应用的源代码，得到代码语义信息和依赖关系；

动态应用安全检测服务工具，通过向所述目标应用注入预设故障，并对注入故障后的所述目标应用运行过程进行扫描，得到应用故障测试信息；

交互式应用检测服务工具，通过向测试服务器安装插桩组件，并通过所述插桩组件获取应用服务请求、代码数据流和代码控制流，并进行测试流量改造，检测所述目标应用的运营状态，得到风险点信息；

自定义安全检测服务工具，为预先指定的安全工具提供调度场景定制服务及工具启动参数配置服务。

5.根据权利要求4所述的安全测试方法，其特征在于，所述静态应用安全检测服务工具对接源代码管理系统，调用场景是代码提交入库阶段；所述动态应用安全检测服务工具对接持续构建工具，调用场景是代码交付后的测试阶段；所述交互式应用检测服务工具调用场景是代码交付后的测试阶段。

6.根据权利要求1所述的安全测试方法，其特征在于，在分析所述多份检测报告中的展现要素信息，得到应用测试结果之前，还包括：

对所述多份测试报告中进行合并处理和去重处理，确定对应于所述目标应用的缺陷类型和应用问题；

基于每个所述缺陷类型和每个所述应用问题的出现次数，对不同的缺陷类型和应用问题进行加权处理，并对加权处理后的缺陷类型和应用问题进行排序，得到排序结果；

展示所述排序结果。

7.根据权利要求1所述的安全测试方法，其特征在于，所述展现要素信息包括下述至少之一：应用标识、漏洞缺陷分类、漏洞等级、风险描述、修复建议、问题定位、问题来源。

8.一种目标应用的安全测试装置，其特征在于，包括：

接收单元，用于接收对目标应用进行安全测试的测试任务，其中，所述测试任务包括预先配置的工具信息和测试基础信息，所述测试基础信息至少包括：测试时间点和目标应用的应用标识；

接入单元，用于响应所述测试任务，接入与所述工具信息对应的多个安全检测工具；

调度单元，用于在到达所述测试时间点的情况下，调度所述安全检测工具分别扫描所述目标应用，得到多份检测报告；

分析单元，用于分析所述多份检测报告中的展现要素信息，得到应用测试结果。