本申請(qǐng)實(shí)施例公開了一種SDK安全檢測(cè)方法及相關(guān)設(shè)備，所述方法應(yīng)用于計(jì)算機(jī)技術(shù)領(lǐng)域，包括：在檢測(cè)到開發(fā)周期中的預(yù)設(shè)觸發(fā)事件時(shí)，獲取預(yù)設(shè)觸發(fā)事件對(duì)應(yīng)的目標(biāo)對(duì)象的軟件開發(fā)工具包SDK信息，并獲取SDK漏洞數(shù)據(jù)庫中存儲(chǔ)的各個(gè)SDK樣本的SDK安全漏洞信息。進(jìn)一步地，可以檢測(cè)各個(gè)SDK樣本中是否存在與上述SDK信息匹配的目標(biāo)SDK樣本，若是，則確定該目標(biāo)對(duì)象存在SDK安全漏洞。采用本申請(qǐng)實(shí)施例，可以在開發(fā)周期中高效地實(shí)現(xiàn)對(duì)SDK的安全性檢測(cè)。

技術(shù)領(lǐng)域

本申請(qǐng)涉及計(jì)算機(jī)技術(shù)領(lǐng)域，尤其涉及一種SDK安全檢測(cè)方法及相關(guān)設(shè)備。

背景技術(shù)

在軟件開發(fā)生命周期過程中，開發(fā)人員使用項(xiàng)目自動(dòng)化構(gòu)建工具(例如Maven、Gradle、Ant等)安裝軟件開發(fā)工具包(Software Development Kit，SDK)使用其所提供的功能進(jìn)行軟件開發(fā)。在軟件開發(fā)生命周期中(包括：構(gòu)建、代碼編寫、編譯使用)對(duì)SDK進(jìn)行安全檢查，以防止開發(fā)人員使用存在已知安全漏洞的SDK。

現(xiàn)有的SDK安全檢測(cè)方法，通常是信息安全人員在SDK發(fā)布前，采用單獨(dú)掃描SDK代碼的形式判斷該SDK是否存在安全漏洞。當(dāng)其他開發(fā)人員下載該SDK應(yīng)用于自身的軟件開發(fā)時(shí)，根本無法獲知下載的SDK是否存在安全漏洞，導(dǎo)致最終開發(fā)的產(chǎn)品(如軟件、系統(tǒng)等)可能會(huì)出現(xiàn)服務(wù)器被攻陷等安全問題。

發(fā)明內(nèi)容

本申請(qǐng)實(shí)施例提供了一種SDK安全檢測(cè)方法及相關(guān)設(shè)備，可以在應(yīng)用程序的開發(fā)周期中高效地實(shí)現(xiàn)對(duì)SDK的安全性檢測(cè)。

第一方面，本申請(qǐng)實(shí)施例提供了一種SDK安全檢測(cè)方法，該方法包括：

在檢測(cè)到所述開發(fā)周期中的預(yù)設(shè)觸發(fā)事件時(shí)，獲取所述預(yù)設(shè)觸發(fā)事件對(duì)應(yīng)的目標(biāo)對(duì)象的軟件開發(fā)工具包SDK信息，所述目標(biāo)對(duì)象為所述開發(fā)周期的不同階段時(shí)對(duì)應(yīng)的檢測(cè)對(duì)象；

獲取SDK漏洞數(shù)據(jù)庫中存儲(chǔ)的各個(gè)SDK樣本的SDK安全漏洞信息，所述各個(gè)SDK樣本的SDK安全漏洞信息是實(shí)時(shí)更新的；

檢測(cè)所述各個(gè)SDK樣本中是否存在目標(biāo)SDK樣本，所述目標(biāo)SDK樣本的SDK安全漏洞信息與所述目標(biāo)對(duì)象的SDK信息匹配；

若是，則確定所述目標(biāo)對(duì)象存在SDK安全漏洞。

在一個(gè)實(shí)施例中，所述預(yù)設(shè)觸發(fā)事件包括針對(duì)SDK進(jìn)行配置SDK文件，所述預(yù)設(shè)觸發(fā)事件對(duì)應(yīng)的目標(biāo)對(duì)象為所述SDK，所述在檢測(cè)到所述開發(fā)周期中的預(yù)設(shè)觸發(fā)事件時(shí)，獲取所述預(yù)設(shè)觸發(fā)事件對(duì)應(yīng)目標(biāo)對(duì)象的SDK信息的具體實(shí)施方式為：在檢測(cè)到所述開發(fā)周期中針對(duì)SDK進(jìn)行配置SDK文件時(shí)，從所述SDK配置文件中獲取所述SDK的SDK信息。

在一個(gè)實(shí)施例中，所述確定所述目標(biāo)對(duì)象存在SDK安全漏洞之后，還可以在檢測(cè)到所述SDK使用時(shí)，從所述目標(biāo)SDK樣本的SDK安全漏洞信息中獲取所述目標(biāo)SDK樣本對(duì)應(yīng)的修復(fù)方法鏈接；輸出包括所述目標(biāo)SDK樣本對(duì)應(yīng)的修復(fù)方法鏈接的第一提示信息，所述第一提示信息用于提示所述目標(biāo)對(duì)象存在SDK安全漏洞，以及提示基于所述目標(biāo)SDK樣本對(duì)應(yīng)的修復(fù)方法鏈接更新所述目標(biāo)對(duì)象。

在一個(gè)實(shí)施例中，所述輸出包括所述目標(biāo)SDK樣本對(duì)應(yīng)的修復(fù)方法鏈接的第一提示信息之后，還可以當(dāng)檢測(cè)到針對(duì)所述第一提示信息的確認(rèn)指令時(shí)，根據(jù)所述修復(fù)方法鏈接下載更新后的SDK；基于所述更新后的SDK更新所述SDK配置文件。

在一個(gè)實(shí)施例中，所述預(yù)設(shè)觸發(fā)事件還包括通過代碼編寫頁面導(dǎo)入SDK中的函數(shù)，所述預(yù)設(shè)觸發(fā)事件對(duì)應(yīng)的目標(biāo)對(duì)象為導(dǎo)入的所述函數(shù)，所述在檢測(cè)到所述開發(fā)周期中的預(yù)設(shè)觸發(fā)事件時(shí)，獲取所述預(yù)設(shè)觸發(fā)事件對(duì)應(yīng)目標(biāo)對(duì)象的SDK信息的具體實(shí)施方式為：當(dāng)檢測(cè)到所述開發(fā)周期中代碼編寫頁面導(dǎo)入SDK中的函數(shù)時(shí)，解析所述函數(shù)，得到所述函數(shù)對(duì)應(yīng)的SDK信息。