[发明专利]软件开发工具包的安全监控方法、装置、设备及介质

说明书

本公开涉及一种软件开发工具包的安全监控方法、装置、设备及介质。其中，软件开发工具包的安全监控方法，包括获取待检测应用程序的软件开发工具包信息；获取待检测应用程序的软件开发工具包的具体行为信息；在待检测应用程序的软件开发工具包接口处增加目标函数，基于目标函数，获取待检测应用程序的目标调用信息；基于待检测应用程序的软件开发工具包信息和待检测应用程序的软件开发工具包的具体行为信息，确定目标调用信息属于正常调用信息，由此，实现在实际用户环境中对软件开发工具包的安全监控，提升用户体验。

技术领域

本公开涉及计算机技术领域，尤其涉及一种软件开发工具包的安全监控方法、装置、设备及介质。

背景技术

目前，软件开发工具包(Software Development Kit，SDK)属于软件供应链中重要的部分，SDK的安全也是软件供应链安全中重要的部分，在终端常见的应用程序(Application，APP)中，接入SDK是常见的开发模式，一个APP中一般都会接入多个SDK，与此同时，SDK在使用运行时也存在一些安全风险。

在SDK的安全检测中，常见的技术方法是静态分析和动态分析，静态分析是指分析SDK的权限、特征等，动态分析是指在特定的固件或环境(沙箱)或利用特定的工具进行动态检测，检测是否调用敏感权限、敏感接口、个人信息等。

但是，目前针对SDK的安全检测或管控，仍然存在较大难点，如运行过程中的安全，虽然动态检测可以在发布前一定程度上发现一些风险，但对于SDK在实际用户环境中是较难发现和阻断的。

发明内容

为了解决上述技术问题，本公开提供了一种软件开发工具包的安全监控方法、装置、设备及介质。

本公开实施例的第一方面提供了一种软件开发工具包的安全监控方法，包括：

获取待检测应用程序的软件开发工具包信息，软件开发工具包信息包括待检测应用程序的软件开发工具包的包名、版本、待检测应用程序调用软件开发工具包接口的第一调用信息；

获取待检测应用程序的软件开发工具包的具体行为信息；

在待检测应用程序的软件开发工具包接口处增加目标函数，基于目标函数，获取待检测应用程序的目标调用信息，其中，目标函数包括基于动态代理的钩子代码的执行逻辑；

基于待检测应用程序的软件开发工具包信息和待检测应用程序的软件开发工具包的具体行为信息，确定目标调用信息属于正常调用信息。

本公开实施例的第二方面提供了一种软件开发工具包的安全监控装置，包括：

第一获取模块，用于获取待检测应用程序的软件开发工具包信息，软件开发工具包信息包括待检测应用程序的软件开发工具包的包名、版本、待检测应用程序调用软件开发工具包接口的第一调用信息；

第二获取模块，用于获取待检测应用程序的软件开发工具包的具体行为信息；

第三获取模块，用于在待检测应用程序的软件开发工具包接口处增加目标函数，基于目标函数，获取待检测应用程序的目标调用信息，其中，目标函数包括基于动态代理的钩子代码的执行逻辑；

行为确定模块，用于基于待检测应用程序的软件开发工具包信息和待检测应用程序的软件开发工具包的具体行为信息，确定目标调用信息属于正常调用信息。

本公开实施例的第三方面提供了一种电子设备，包括：

处理器；

存储器，用于存储可执行指令；

其中，处理器用于从存储器中读取可执行指令，并执行可执行指令以实现上述第一方面提供的软件开发工具包的安全监控方法。