本發明公開了一種代碼安全掃描方法和裝置，方法包括：基于要查找的漏洞類型和要過濾的漏洞類型生成自動配置模板；使用自動配置模板掃描代碼以生成自動自定義規則；將基于規則參數確定的手動自定義規則、從代碼安全掃描工具獲取的預設規則、和自動自定義規則組合形成代碼安全掃描規則；基于代碼安全掃描規則使用代碼安全掃描工具來掃描代碼。本發明能夠自動化地生成自定義規則。

技術領域

本發明涉及數據安全領域，更具體地，特別是指一種代碼安全掃描方法和裝置。

背景技術

代碼安全掃描指的是通過特定的規則，對代碼進行安全漏洞檢查的一種方法，通過該方法可以發現代碼中存在的安全漏洞，并提供修改建議，在開發過程中即可發現安全漏洞并進行修改。代碼安全掃描的規則指的是代碼安全掃描執行時判斷代碼是否存在漏洞的標準，通常的代碼安全掃描工具在出廠時已經由工具廠商預定義好，可以直接進行掃描并得到掃描結果，但是在實際執行的過程中，雖然語言種類相同，但是由于研發環境的不同，對于代碼安全要求的各不相同，所以通常需要編寫自定義掃描規則。

傳統的自定義規則編寫一般包括兩種方法：一種是工具廠商提供升級，使用者只能夠等待廠商進行規則更新，此類掃描工具雖然也支持對于規則進行配置，過濾等操作，但是只能對于已經存在的規則通過注釋掉指定的規則的方式進行規則過濾，無法由用戶自行新增掃描規則；另一種是工具廠商提供自定義規則編寫方法及接口，用戶可以自行編寫自定義規則，并將編寫的自定義規則導入規則庫進行代碼安全掃描。以上兩種方法雖然都可以實現一定意義上的自定義規則，但是實際上無法實現真正的自定義規則，雖然方法二此類工具可以進行自定義規則編寫，但是技術門檻很高，并且編寫的效率非常低，無法滿足實際開發的需要。

針對現有技術中無法自定義代碼安全掃描規則的問題，目前尚無有效的解決方案。

發明內容

有鑒于此，本發明實施例的目的在于提出一種代碼安全掃描方法和裝置，能夠自動化地生成自定義規則。

基于上述目的，本發明實施例的第一方面提供了一種代碼安全掃描方法，包括執行以下步驟：

基于要查找的漏洞類型和要過濾的漏洞類型生成自動配置模板；

使用自動配置模板掃描代碼以生成自動自定義規則；

將基于規則參數確定的手動自定義規則、從代碼安全掃描工具獲取的預設規則、和自動自定義規則組合形成代碼安全掃描規則；

基于代碼安全掃描規則使用代碼安全掃描工具來掃描代碼。

在一些實施方式中，自動配置模板包括正向自動配置模板和反向自動配置模板，其中正向自動配置模板基于要查找的漏洞類型而生成，反向自動配置模板基于要過濾的漏洞類型而生成。

在一些實施方式中，使用自動配置模板掃描代碼以生成自動自定義規則包括：

使用代碼安全掃描工具讀取掃描中間文件；

使用正向自動配置模板處理掃描中間文件以生成正向自動自定義規則；

將正向自動自定義規則疊加到自動自定義規則。

在一些實施方式中，使用自動配置模板掃描代碼以生成自動自定義規則包括：

使用反向自動配置模板生成用于過濾要過濾的漏洞的過濾文件；

將過濾文件反向疊加到自動自定義規則。

在一些實施方式中，自動配置模板包括模板類型、漏洞類型、漏洞類型的值、配置項、配置項的值。

在一些實施方式中，要查找的漏洞類型包括泄漏敏感數據；正向自動自定義規則包括將掃描到的敏感數據判定為敏感信息漏洞。

在一些實施方式中，要過濾的漏洞類型包括日志注入。