[發(fā)明專利]一種代碼安全掃描方法、代碼安全掃描系統(tǒng)及存儲介質(zhì)在審
| 申請?zhí)枺?/td> | 202011528489.1 | 申請日: | 2020-12-22 |
| 公開(公告)號: | CN112560048A | 公開(公告)日: | 2021-03-26 |
| 發(fā)明(設(shè)計)人: | 趙銘;林圳杰;嚴(yán)志華 | 申請(專利權(quán))人: | 南方電網(wǎng)深圳數(shù)字電網(wǎng)研究院有限公司 |
| 主分類號: | G06F21/57 | 分類號: | G06F21/57 |
| 代理公司: | 廣州嘉權(quán)專利商標(biāo)事務(wù)所有限公司 44205 | 代理人: | 鄧建輝 |
| 地址: | 518000 廣東省深圳市南山區(qū)沙河街道高*** | 國省代碼: | 廣東;44 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 代碼 安全 掃描 方法 系統(tǒng) 存儲 介質(zhì) | ||
1.一種代碼安全掃描方法,其特征在于,包括以下步驟:
依據(jù)現(xiàn)有漏洞數(shù)據(jù)庫和漏洞危害程度構(gòu)建漏洞處理優(yōu)先級表;
檢測是否有第三方包上傳至Artifactory端;
通過代碼安全檢測工具掃描所述第三方包中待處理代碼漏洞,并獲取相應(yīng)的待處理代碼漏洞名稱;
依據(jù)所述漏洞處理優(yōu)先級表和所述待處理代碼漏洞名稱處理所述待處理代碼漏洞。
2.根據(jù)權(quán)利要求1所述的代碼安全掃描方法,其特征在于,所述代碼安全檢測工具采用JFrog XRAY組件。
3.根據(jù)權(quán)利要求2所述的代碼安全掃描方法,其特征在于,所述漏洞處理優(yōu)先級表包括多個在庫漏洞名稱以及與多個所述在庫漏洞名稱對應(yīng)的多個優(yōu)先處理等級;多個所述優(yōu)先處理等級分別為:高危漏洞、一般漏洞、輕微漏洞。
4.根據(jù)權(quán)利要求3所述的代碼安全掃描方法,其特征在于,所述依據(jù)所述漏洞處理優(yōu)先級表和所述待處理代碼漏洞名稱處理多個所述待處理代碼漏洞包括以下步驟:
依據(jù)多個所述待處理代碼漏洞名稱掃描所述漏洞處理優(yōu)先級表,并獲取與多個所述待處理代碼漏洞名稱對應(yīng)的多個在庫漏洞名稱;
獲取多個所述在庫漏洞名稱對應(yīng)的優(yōu)先處理等級,生成漏洞待處理文件信息表;
將所述漏洞待處理文件信息表傳輸至漏洞處理端。
5.根據(jù)權(quán)利要求2所述的代碼安全掃描方法,其特征在于,還包括以下步驟:
依據(jù)產(chǎn)品名稱與技術(shù)責(zé)任人信息的對應(yīng)關(guān)系構(gòu)建通知地址表;
通過所述JFrog XRAY組件獲取所述第三方包的來源,并由該來源獲取問題產(chǎn)品信息;
掃描所述通知地址表中與所述問題產(chǎn)品信息一致的產(chǎn)品名稱,如果有,則獲取技術(shù)責(zé)任人信息,并根據(jù)所述技術(shù)責(zé)任人信息通知到對應(yīng)的漏洞處理端。
6.根據(jù)權(quán)利要求5所述的代碼安全掃描方法,其特征在于,還包括以下步驟:
掃描所述通知地址表中與所述問題產(chǎn)品信息一致的產(chǎn)品名稱,如果沒有,則在所述通知地址表中創(chuàng)建新條目,并通知漏洞綜合處理端。
7.一種代碼安全掃描系統(tǒng),其特征在于,包括:
數(shù)據(jù)庫,其內(nèi)置有漏洞數(shù)據(jù)庫、以及依據(jù)所述漏洞數(shù)據(jù)庫和漏洞危害程度構(gòu)建的漏洞處理優(yōu)先級表;
代碼安全檢測工具,用于檢測上傳至Artifactory端中的第三方包中待處理代碼漏洞,并獲取相應(yīng)的待處理代碼漏洞名稱;
漏洞處理模塊,用于依據(jù)所述漏洞處理優(yōu)先級表和所述待處理代碼漏洞名稱處理所述待處理代碼漏洞。
8.根據(jù)權(quán)利要求7所述的代碼安全掃描系統(tǒng),其特征在于,所述代碼安全檢測工具采用JFrog XRAY組件。
9.根據(jù)權(quán)利要求8所述的代碼安全掃描系統(tǒng),其特征在于,還包括溯源單元和漏洞通知單元;所述數(shù)據(jù)庫中內(nèi)置有依據(jù)產(chǎn)品名稱與技術(shù)責(zé)任人信息的對應(yīng)關(guān)系構(gòu)建通知地址表;所述溯源單元用于通過所述JFrog XRAY組件獲取所述第三方包的來源并由該來源獲取問題產(chǎn)品信息;所述漏洞通知單元用于掃描所述通知地址表中與所述問題產(chǎn)品信息一致的產(chǎn)品名稱,并根據(jù)對應(yīng)的所述技術(shù)責(zé)任人信息通知到對應(yīng)的漏洞處理端。
10.一種計算機可讀存儲介質(zhì),其特征在于:所述計算機可讀存儲介質(zhì)存儲有計算機可執(zhí)行指令,所述計算機可執(zhí)行指令用于使計算機執(zhí)行如權(quán)利要求1至6任一所述的一種代碼安全掃描方法。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于南方電網(wǎng)深圳數(shù)字電網(wǎng)研究院有限公司,未經(jīng)南方電網(wǎng)深圳數(shù)字電網(wǎng)研究院有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011528489.1/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
