本申請?zhí)峁┮环N漏洞檢測方法、裝置、設(shè)備、介質(zhì)及程序產(chǎn)品，涉及漏洞檢測技術(shù)領(lǐng)域，該方法包括：電子設(shè)備通過SAST對業(yè)務(wù)系統(tǒng)中的代碼進行漏洞檢測，獲取漏洞信息，若漏洞信息與誤報庫中存儲的任一誤報信息均不一致，則根據(jù)漏洞信息確定代碼文件中的漏洞的上下文，并將漏洞的標識、漏洞的上下文、漏洞的類型以及代碼文件的類型輸入誤報檢測模型，獲取誤報檢測模型輸出的檢測結(jié)果。該技術(shù)方案取代了現(xiàn)有過程中的人工審核過程，有效的節(jié)約了人工成本，提高處理效率和準確度。

技術(shù)領(lǐng)域

本申請涉及漏洞檢測技術(shù)領(lǐng)域，尤其涉及一種漏洞檢測方法、裝置、設(shè)備、介質(zhì)及程序產(chǎn)品。

背景技術(shù)

隨著互聯(lián)網(wǎng)行業(yè)的快速發(fā)展，大量業(yè)務(wù)系統(tǒng)逐漸開始呈現(xiàn)多樣化、復雜化、重要性高的特點，網(wǎng)絡(luò)安全風險迅速增加。各種業(yè)務(wù)系統(tǒng)由大量不同語言類型、不同平臺的代碼構(gòu)成，這些代碼造成的安全漏洞是導致被黑客入侵的最主要原因，嚴重影響了業(yè)務(wù)系統(tǒng)的安全性，如何檢測代碼中的安全漏洞是目前亟待解決的問題。

目前，主要基于靜態(tài)源代碼安全掃描(Static?Analysis?Security?Testing，SAST)對代碼安全質(zhì)量進行檢測，以便在編碼階段進行代碼質(zhì)量控制，提前發(fā)現(xiàn)并修復代碼漏洞，提高研發(fā)效率。由于現(xiàn)有SAST的誤報率較高，在通過對SAST代碼進行漏洞檢測后，還需要人工對檢測得到的漏洞信息進行核對，以使確定SAST生成的漏洞信息是否為誤報。

然而，現(xiàn)有技術(shù)中人工核對過程的人工成本較高、準確度和效率較低。

發(fā)明內(nèi)容

本申請?zhí)峁┮环N漏洞檢測方法、裝置、設(shè)備、介質(zhì)及程序產(chǎn)品，以解決現(xiàn)有技術(shù)中人工核對過程的人工成本較高、準確度和效率較低的問題。

第一方面，本申請實施例提供一種漏洞檢測方法，包括：

通過SAST對業(yè)務(wù)系統(tǒng)中的代碼進行漏洞檢測，獲取漏洞信息，所述漏洞信息用于表示漏洞的標識以及所述漏洞在代碼文件中的位置；

若所述漏洞信息與誤報庫中存儲的任一誤報信息均不一致，則根據(jù)所述漏洞信息確定所述代碼文件中的所述漏洞的上下文和所述漏洞的標識，所述誤報信息是在歷史上檢測出的誤報的漏洞信息；

將所述漏洞的標識、上下文、類型以及所述代碼文件的類型輸入誤報檢測模型，獲取所述誤報檢測模型輸出的檢測結(jié)果，所述檢測結(jié)果用于指示所述漏洞是否為誤報，所述誤報檢測模型是根據(jù)每個樣本漏洞對應(yīng)的所述樣本漏洞的標識、上下文、類型以及所處樣本代碼文件的類型進行模型訓練得到的。

在第一方面的一種可能設(shè)計中，所述方法還包括：

若所述漏洞信息與所述誤報庫中存儲的任一誤報信息一致，則將所述漏洞信息確定為誤報的漏洞信息。

在第一方面的另一種可能設(shè)計中，在所述將所述漏洞的標識、上下文、類型以及所述代碼文件的類型輸入誤報檢測模型，獲取所述誤報檢測模型輸出的檢測結(jié)果之后，所述方法包括：

若所述檢測結(jié)果用于指示所述漏洞信息為誤報，則將所述漏洞信息存儲至所述誤報庫。

在第一方面的再一種可能設(shè)計中，所述漏洞信息包括所述漏洞的標識、所述業(yè)務(wù)系統(tǒng)的標識、所述漏洞對應(yīng)的代碼文件以及所述漏洞在所述代碼文件中的位置。

在第一方面的又一種可能設(shè)計中，在所述通過SAST對業(yè)務(wù)系統(tǒng)中的代碼進行漏洞檢測，獲取漏洞信息之前，所述方法還包括：

對多個樣本代碼文件中每個樣本代碼文件對應(yīng)的樣本漏洞進行特征提取，獲取每個樣本漏洞對應(yīng)的所述樣本漏洞的標識、所述樣本漏洞的上下文、所述樣本漏洞的類型以及所處樣本代碼文件的類型，所述樣本漏洞包括誤報漏洞以及非誤報漏洞；

根據(jù)每個樣本漏洞對應(yīng)的所述樣本漏洞的標識、上下文、類型以及所處樣本代碼文件的類型進行模型訓練，獲取所述誤報檢測模型。