[发明专利]自动化代码安全检测和漏洞修复方法、装置、终端及介质

说明书

本发明涉及代码安全检测和漏洞修复领域，具体公开一种自动化代码安全检测和漏洞修复方法、装置、终端及介质，配置检测修复参数，包括待修复漏洞风险等级或操作等级；调取代码安全检测工具对软件代码进行安全检测，并导出检测结果文件；从检测结果文件中，筛选出符合待修复漏洞风险等级或操作等级的漏洞，记为待修复漏洞，输出待修复漏洞的组件信息；根据待修复漏洞的组件信息进行漏洞修复。本发明通过参数配置和代码安全检测工具等实现整个代码安全检测和漏洞修复的高度自动化，极大提高工作效率，降低人力投入。

技术领域

本发明涉及代码安全检测和漏洞修复领域，具体涉及一种自动化代码安全检测和漏洞修复方法、装置、终端及介质。

背景技术

软件应用安全是保证软件可用性的一个重要方面，目前应用于该领域的解决方案不止一种，其中，代码安全检测是近年被人提及较多的软件应用安全解决方案之一。代码安全检测指的是通过特定的规则对代码进行安全漏洞检查的一种方法，通过该方法可以发现代码中存在的安全漏洞，然后对发现的安全漏洞对应的组件进行针对性的升级，以此修复漏洞提升软件应用安全。

目前对于代码安全检测主要是通过检测软件扫描源码，再手动修复漏洞，升级相关组件。对于手动或任务的方式触发的代码扫描，每次都要做扫描配置。导出的分析结果多是csv或excel文件，该文件围绕代码所引用的所有组件去列举对应的风险等级，所以分析结果中包含了从严重、中等、低级和无风险等全部等级的记录，文件的行数和列数非常多，人工手动筛选特定等级的漏洞，再手动修复并验证软件功能，包括根据检测描述升级对应的组件到更新的版本，然后再去验证组件升级后是否影响软件原有功能，如果验证不过再做组件版本的手动回退，通过上述迭代的方式直到漏洞被全部修复或者遗留的漏洞经过评估，其风险在可控范围内为止。由此可见，当前方式整个代码安全检测和漏洞修复流程手动方式占比非常大，自动化程度非常低，效率低下，需要占用大量的人力，费时费力。

发明内容

为解决上述问题，本发明提供一种自动化代码安全检测和漏洞修复方法、装置、终端及介质，配置各功能模块实现整个代码安全检测和漏洞修复过程的高度自动化，极大的提升了代码安全检测和漏洞修复的效率，降低了人力的投入。

第一方面，本发明的技术方案提供一种自动化代码安全检测和漏洞修复方法，包括以下步骤：

配置检测修复参数，包括待修复漏洞风险等级或操作等级；

调取代码安全检测工具对软件代码进行安全检测，并导出检测结果文件；

从检测结果文件中，筛选出符合待修复漏洞风险等级或操作等级的漏洞，记为待修复漏洞，输出待修复漏洞的组件信息；

根据待修复漏洞的组件信息进行漏洞修复。

进一步地，待修复漏洞组件信息包括：组件名称、漏洞等级、组件当前版本、组件可升级的新版本；

相应的，根据待修复漏洞的组件信息进行漏洞修复，具体包括：

检测软件代码的编程语言；

基于软件代码的编程语言，采用代码适配的方式将漏洞的组件更新到组件可升级的新版本。

进一步地，该方法还包括以下步骤：

预先构建软件自动化测试用例；

每修复一个漏洞后，执行测试用例对软件进行功能验证；

若验证通过，则直接进行下一个漏洞的修复；

若验证不通过，则将当前漏洞的组件版本回退到当前版本，之后进行下一个漏洞的修复。

进一步地，该方法还包括以下步骤：

当执行测试用例对软件进行功能验证，验证不通过时，记录验证失败信息以及回退的组件版本信息。

进一步地，所配置检测修复参数还包括最大尝试的检测修复次数；

相应的，该方法还包括以下步骤：