本發明提供一種源碼測試方法及裝置，方法包括：獲取目標源碼；基于預設編碼規則庫對所述目標源碼進行掃描處理并選取出漏洞編碼；對所述選取出的漏洞編碼進行篩選處理；基于篩選處理后的漏洞編碼生成源碼測試報告。本發明能夠避免人工介入，減少人工引入的偏差和檢查時間，提高結果可信度以及提升掃描效率，進而提高掃描結果的精準度。

技術領域

本發明涉及計算機技術領域，具體涉及一種源碼測試方法及裝置。

背景技術

隨著金融領域對計算機網絡和軟件系統的依賴程度逐漸增加，信息技術在給傳統金融業務帶來巨大變革的同時，也引入了潛在的巨大安全風險，金融領域的軟件系統的安全問題亟待解決。

目前金融行業多采購第三方安全靜態掃描工具，手工操作安全靜態掃描工具進行軟件系統的安全測試，第三方的安全靜態掃描工具通過掃描源碼和依賴庫，根據使用的規則集掃描生成獨立的報告。整個過程中需要人工操作進行掃描，導致掃描效率低、人工成本高和誤報率高等問題，使源碼掃描效果大打折扣。

發明內容

針對現有技術中的問題，本發明提供一種源碼測試方法及裝置，能夠提升掃描效率以及掃描結果的可信度和精準度。

為解決上述技術問題，本發明提供以下技術方案：

第一方面，本發明提供一種源碼測試方法，包括：

獲取目標源碼；

基于預設編碼規則庫對所述目標源碼進行掃描處理并選取出漏洞編碼；

對所述選取出的漏洞編碼進行篩選處理；

基于篩選處理后的漏洞編碼生成源碼測試報告。

其中，所述獲取目標源碼，包括：通過人工上傳目標源碼和/或流程自動化的導入目標源碼的方式獲取目標源碼。

其中，所述掃描處理，包括：編碼規范掃描、代碼安全掃描和工程規范掃描中至少一種。

其中，所述對所述選取出的漏洞編碼進行篩選處理，包括：

基于漏洞過濾庫對選取出的漏洞編碼進行篩選處理。

其中，所述基于漏洞過濾庫對選取出的漏洞編碼進行篩選處理，包括：

判斷選取出的漏洞編碼中各個編碼是否存在于所述漏洞過濾庫中；

確定存在于所述漏洞過濾庫中的編碼為誤報編碼并在選取出的漏洞編碼中刪除所述誤報編碼。

進一步的，在所述基于漏洞過濾庫對選取出的漏洞編碼進行篩選處理之后，還包括：

根據所述篩選處理后的漏洞編碼對所述漏洞過濾庫進行更新。

其中，所述基于篩選處理后的漏洞編碼生成源碼測試報告，包括：

基于篩選處理后的各個漏洞編碼各自對應的代碼行數、文件路徑和函數名稱生成各自對應的唯一標識；

基于各個所述唯一標識生成源碼測試報告。

進一步的，在所述獲取目標源碼之后，還包括：

對獲取的所述目標源碼進行編譯；

相對應的，所述基于預設編碼規則庫對所述目標源碼進行掃描處理并選取出漏洞編碼，包括：

基于預設編碼規則庫對編譯通過的所述目標源碼進行掃描處理并選取出漏洞編碼。

進一步的，在所述對獲取的所述目標源碼進行編譯之前，還包括：

對超過預設容量的目標源碼進行拆分處理生成所述目標源碼對應的各個目標子源碼；