[发明专利]目标应用的安全测试方法及其装置、电子设备及存储介质

说明书

本发明公开了一种目标应用的安全测试方法及其装置、电子设备及存储介质，涉及金融科技领域，其中，该测试方法包括：接收对目标应用进行安全测试的测试任务，其中，测试任务包括预先配置的工具信息和测试基础信息，测试基础信息至少包括：测试时间点和目标应用的应用标识，响应测试任务，接入与工具信息对应的多个安全检测工具，在到达测试时间点的情况下，调度安全检测工具分别扫描目标应用，得到多份检测报告，分析多份检测报告中的展现要素信息，得到应用测试结果。本发明解决了相关技术中采用手动逐一调度多个安全检测工具，工作效率低下的技术问题。

技术领域

本发明涉及金融科技领域，具体而言，涉及一种目标应用的安全测试方法及其装置、电子设备及存储介质。

背景技术

在安全测试中，存在多种安全检测工具，各个安全检测工具使用相对独立，安全测试人员在安全测试时需要手动逐一触发工具扫描，需要学习各个安全检测工具的使用说明，操作较为复杂，安全测试门槛较高，同时，每个安全检测工具扫描完成后都会形成一份独立的安全检测报告。

相关技术中，由于各个安全检测工具使用相对独立，缺乏多种测试工具的编排调度，主要依赖手工测试，安全测试人员需要学会使用各种工具，需要学会设计安全测试场景，需要对各个安全检测工具的扫描原理和扫描时机有充分的认识，可能会出现由于某些测试人员疏忽延误测试时机的情况，同时，还存在手工操作复杂，且无法开展快速迭代扫描等问题。并且，各安全检测工具存在测试项重叠的现象，而各安全检测工具的检测结果无法共享使用，无法给应用提供全面的检测报告，开发人员需要对每个安全检测工具产生的检测报告逐一分析，工作效率较低。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种目标应用的安全测试方法及其装置、电子设备及存储介质，以至少解决相关技术中采用手动逐一调度多个安全检测工具，工作效率低下的技术问题。

根据本发明实施例的一个方面，提供了一种目标应用的安全测试方法，包括：接收对目标应用进行安全测试的测试任务，其中，所述测试任务包括预先配置的工具信息和测试基础信息，所述测试基础信息至少包括：测试时间点和目标应用的应用标识；响应所述测试任务，接入与所述工具信息对应的多个安全检测工具；在到达所述测试时间点的情况下，调度所述安全检测工具分别扫描所述目标应用，得到多份检测报告；分析所述多份检测报告中的展现要素信息，得到应用测试结果。

可选地，在接收对目标应用进行安全测试的测试任务之前，还包括：接收任务创建指令，并响应所述任务创建指令，创建初始测试任务；接收所述应用标识、所述测试时间点以及工具选取指令，生成所述测试任务，其中，所述工具选取指令为在客户端界面展示所有的安全检测工具的工具简介后，接收到的外部工具所选取的工具指令。

可选地，响应所述测试任务，接入与所述工具信息对应的多个安全检测工具的步骤，包括：基于所述工具信息，确定每个待接入的安全检测工具的工具环境配置和服务参数配置；基于每个待接入的安全检测工具的所述工具环境配置和所述服务参数配置，采用预先配置的安全工具启动接口，分别接入多个安全检测工具。

可选地，所述多个安全检测工具包括：静态应用安全检测服务工具，通过扫描所述目标应用的源代码，得到代码语义信息和依赖关系；动态应用安全检测服务工具，通过向所述目标应用注入预设故障，并对注入故障后的所述目标应用运行过程进行扫描，得到应用故障测试信息；交互式应用检测服务工具，通过向测试服务器安装插桩组件，并通过所述插桩组件获取应用服务请求、代码数据流和代码控制流，并进行测试流量改造，检测所述目标应用的运营状态，得到风险点信息；自定义安全检测服务工具，为预先指定的安全工具提供调度场景定制服务及工具启动参数配置服务。

可选地，所述静态应用安全检测服务工具对接源代码管理系统，调用场景是代码提交入库阶段；所述动态应用安全检测服务工具对接持续构建工具，调用场景是代码交付后的测试阶段；所述交互式应用检测服务工具调用场景是代码交付后的测试阶段。