[发明专利]融合黑白灰安全检测技术的应用安全测试方法及系统

权利要求书

1.融合黑白灰安全检测技术的应用安全测试方法，其特征在于，包括以下步骤：

获取初步生成的代码工程，基于预设的规则库设定的安全编码要求，对所述代码工程进行融合黑白灰安全检测，得到检测结果，其中，所述融合黑白灰安全检测具体为基于预设次序的检测引擎编排，所述检测引擎编排具体为依次采用合规引擎，黑盒专用引擎，白盒专用引擎和灰盒专用引擎对所述代码工程进行检测；

判断所述检测结果是否存在漏洞代码；

若是，则基于所述融合黑白灰安全检测，精确定位到所述漏洞代码的位置，根据预设的漏洞模式库确认所述漏洞代码对应的至少一个或多个特征，将所述特征输入至预设的学习模型进行训练，完善所述学习模型；

识别所述漏洞代码对应的安全编码，基于预设的编码知识库对所述安全编码进行差异性比对，生成所述安全编码对应的修正范围；

基于所述学习模型和所述修正范围对所述检测结果进行融合、加权和判定引擎，生成所述检测结果对应的检测报告。

2.根据权利要求1所述的融合黑白灰安全检测技术的应用安全测试方法，其特征在于，所述则基于所述融合黑白灰安全检测，精确定位到所述漏洞代码的位置的步骤中，包括：

对所述检测结果进行静态应用测试，通过所述白盒专用引擎生成得到至少一个或多个漏洞代码；

将所述至少一个或多个漏洞代码输入至所述灰盒专用引擎，检测得到所述至少一个或多个漏洞代码对应的风险源代码，其中，所述风险源代码包括有风险的代码模块、代码行、调用函数和传递参数；

通过所述黑盒专用引擎对所述风险源代码进行权重赋值，获取所述权重赋值对应的权重数值；

判断所述权重数值是否匹配预设的数值；

若是，则确定存在所述至少一个或多个漏洞代码对应的漏洞，若否，则确定不存在所述至少一个或多个漏洞代码对应的漏洞。

3.根据权利要求1所述的融合黑白灰安全检测技术的应用安全测试方法，其特征在于，所述根据预设的漏洞模式库确认所述漏洞代码对应的至少一个或多个特征的步骤中，包括：

获取所述漏洞代码的程序片段，根据所述程序片段，生成漏洞程序片段控制流图；

对所述漏洞程序片段控制流图进行权重评分计算，得到所述融合黑白灰安全检测的权重评分计算结果，根据所述权重评分计算结果和所述漏洞程序片段控制流图的基本块中，选取预设数量的所述基本块进行权重赋值，其中，所述权重赋值最大值为1，最小值为0。

4.根据权利要求1所述的融合黑白灰安全检测技术的应用安全测试方法，其特征在于，所述识别所述漏洞代码对应的安全编码，基于预设的编码知识库对所述安全编码进行差异性比对，生成所述安全编码对应的修正范围的步骤中，包括：

构建编码类型特征库和编码编排脚本库，基于所述编码类型特征库和所述编码编排脚本库导入不同编码类型的执行脚本，根据所述编码类型匹配相应类型的编排脚本，运行所述编排脚本对应的编排应用，并引入预设源码库的代码源构建相应代码程序包，根据不同的编码类型建立不同的修正规则；

基于所述修正规则对应生成所述安全编码的修正方案，利用所述修正方案对所述漏洞代码对应的安全编码进行规则检测和编码安全隐患扫描及识别，并对所述漏洞代码进行存储。

5.根据权利要求1所述的融合黑白灰安全检测技术的应用安全测试方法，其特征在于，所述获取初步生成的代码工程，基于预设的规则库设定的安全编码要求的步骤中，包括：

提取所述代码工程中包含的至少一个或多个代码文本；

对所述代码文本进行规范检测，并判断所述代码文本是否存在异常代码，其中，所述规范检测具体为获取所述代码工程的白名单，根据所述白名单对所述代码工程包含的多个代码文本进行过滤，生成至少一种代码类型，所述代码类型包括常规代码和异常代码；

若存在，则对所述代码工程进行报错，并根据所述异常代码提供的异常信息，对所述代码工程进行安全检测。