CN112269984A - 一种保障源码安全的自动化代码审计平台*** - Google Patents

一种保障源码安全的自动化代码审计平台*** Download PDF

Info

Publication number
CN112269984A
CN112269984A CN202011006575.6A CN202011006575A CN112269984A CN 112269984 A CN112269984 A CN 112269984A CN 202011006575 A CN202011006575 A CN 202011006575A CN 112269984 A CN112269984 A CN 112269984A
Authority
CN
China
Prior art keywords
code
module
audited
risk
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011006575.6A
Other languages
English (en)
Other versions
CN112269984B (zh
Inventor
张莉
王照伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Santaishan Data Application Research Institute Co Ltd
Original Assignee
Jiangsu Santaishan Data Application Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Santaishan Data Application Research Institute Co Ltd filed Critical Jiangsu Santaishan Data Application Research Institute Co Ltd
Priority to CN202011006575.6A priority Critical patent/CN112269984B/zh
Publication of CN112269984A publication Critical patent/CN112269984A/zh
Application granted granted Critical
Publication of CN112269984B publication Critical patent/CN112269984B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种保障源码安全的自动化代码审计平台***,包括接入交换机,与接入交换机相连的测试客户端,用于待审计代码部署的业务部署服务器,用于计算待审计代码风险的风险匹配特征库,用于在隔离环境下测试的业务沙箱服务器,用于审计规则存储的审计规则匹配库,用于提供解决方案的解决方案匹配库;该保障源码安全的自动化代码审计平台***可以提高***安全性,减少误报和漏洞的概率。

Description

一种保障源码安全的自动化代码审计平台***
技术领域
本发明涉及计算机安全领域,具体涉及一种保障源码安全的自动化代码审计平台***。
背景技术
软件漏洞是当今信息***绝大多数安全漏洞的来源。软件漏洞是软件中存在的一些缺陷,这些缺陷可以被第三方或程序利用来进行未经授权的资源访问,或改变控制权限来执行其他操作;软件漏洞轻则造成相应的经济或财产损失,重则导致严重的灾难,所以从源代码审计的角度,对源代码进行检测和分析,从而从根本上保护软件和信息***的安全,杜绝了代码后门又能够避免在的漏洞安全威胁,市面上也有一些自动化代码审计工具供企业或个人使用,但是这些自动化工具的可扩展性差,扫描结果出现误报和漏洞。
发明内容
本发明的目的在于针对现有技术的不足之处,提供一种保障源码安全的自动化代码审计平台***。
本发明解决上述问题的技术方案为:一种保障源码安全的自动化代码审计平台***,包括接入交换机,与接入交换机相连的测试客户端,用于待审计代码部署的业务部署服务器,用于计算待审计代码风险的风险匹配特征库,用于在隔离环境下测试的业务沙箱服务器,用于审计规则存储的审计规则匹配库,用于提供解决方案的解决方案匹配库。
所述业务部署服务器、风险匹配特征库、业务沙箱服务器、审计规则匹配库、解决方案匹配库均与接入交换机相连。
优选的,所述业务部署服务器包括用于识别待审计代码语言的语言识别模块,用于识别待审计代码版本的版本检测模块,对待审计代码中变量入口进行确定的入口选择模块,跟踪待审计代码中变量的变量跟踪模块,对待审计代码中变量入口进行确定的入口选择模块,跟踪待审计代码中变量的变量跟踪模块,用于确定待审计代码结构的结构探测模块。
优选的,所述风险匹配特征库包括用于对待审计代码风险系数进行评定的风险系数评估模块。
优选的,所述业务沙箱服务器包括对待审计代码进行攻击的沙箱攻击模块,对待审计代码越权风险系数进行评估的权限判断模块。
优选的,所述审计规则匹配库包括存储审计规则的审计规则管理模块。
优选的,所述解决方案匹配库包括为待审计代码中的漏洞提供解决方案的解决方案匹配模块。
一种保障源码安全的自动化代码审计平台***包括接入交换机,包括以下工作步骤:
S1:将待审计代码部署在业务部署服务器中。
S2:业务部署服务器中语言识别模块和版本检测模块根据待审计代码特征匹配出代码语言、语言版本等特征。
S3:业务部署服务器中结构探测模块根据业务种类探索代码结构,包括文件从属关系或函数定义及调用关系。
S4:业务部署服务器将探索结果反馈至测试客户端。
S5:审计人员根据上述结果编写审计规则并将审计规则上传至审计规则匹配库中审计规则管理模块等待调用。
S6:业务部署服务器中-入口选择模块选择待审计代码的数据流入口并获取待审计代码的操作指令。
S7:如操作指令存在危险操作,转操作指令转入业务沙箱服务器,业务部署服务器中变量跟踪模块跟踪数据流。
S8:如操作指令不存在危险操作,业务部署服务器中变量跟踪模块跟踪数据流。
S9:风险匹配特征库根据数据流判定可能存在的待审计代码本身可能存在的漏洞并根据漏洞轻重进行量化分析,得出第一部分待审计代码的风险系数。
S10:业务沙箱服务器中沙箱攻击模块利用常见网络攻击工具对待审计代码***进行攻击,根据攻击结果进行量化分析,得出第二部分待审计代码的风险系数。
S11:业务沙箱服务器中权限判断模块针对存在的代码越权风险系数进行整合行为,进行分析研判,并根据分析结果进行量化分析,得出第三部分待审计代码的风险系数。
S12:风险匹配特征库中风险系数评估模块对对第一部分、第二部分、第三部分审计代码的风险系数进行整合,得出最终的代码审计结果
S13:根据待审计代码存在的漏洞,解决方案匹配模块匹配解决方案匹配库中的已有方案连同结果一起反馈至测试客户端。
本发明具有有益效果:
本发明提供了一种保障源码安全的自动化代码审计平台***,该保障源码安全的自动化代码审计平台***通过对***开展代码安全审计,弥补了传统渗透测试无法对***全面发现漏洞的问题,实现对***全面深入的安全问题分析,及时发现漏洞,提前预防;对发现的问题及时反馈给开发厂商并提供整改建议,使用***整体脆弱性大副度减少,整体安全性明显提高。
附图说明
图1为本发明***图;
图2为本发明模块图;
图3为本发明流程图;
图中:1-接入交换机,2-测试客户端,3-业务部署服务器,31-语言识别模块,32-版本检测模块,33-变量跟踪模块,34-入口选择模块,35-结构探测模块,4-风险匹配特征库,41-风险系数评估模块,5-业务沙箱服务器,51-权限判断模块,52-沙箱攻击模块,6-审计规则匹配库,61-审计规则管理模块,7-解决方案匹配库,71-解决方案匹配模块。
具体实施方式
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以通过具体情况理解上述术语在本发明中的具体含义。
如图1所示,一种保障源码安全的自动化代码审计平台***,包括接入交换机1,与接入交换机1相连的测试客户端2,用于待审计代码部署的业务部署服务器3,用于计算待审计代码风险的风险匹配特征库4,用于在隔离环境下测试的业务沙箱服务器5,用于审计规则存储的审计规则匹配库6,用于提供解决方案的解决方案匹配库7。
所述业务部署服务器3、风险匹配特征库4、业务沙箱服务器5、审计规则匹配库6、解决方案匹配库7均与接入交换机1相连。
如图2所示,所述业务部署服务器3包括用于识别待审计代码语言的语言识别模块31,用于识别待审计代码版本的版本检测模块32,对待审计代码中变量入口进行确定的入口选择模块34,跟踪待审计代码中变量的变量跟踪模块33,对待审计代码中变量入口进行确定的入口选择模块34,跟踪待审计代码中变量的变量跟踪模块33,用于确定待审计代码结构的结构探测模块35。
如图2所示,所述风险匹配特征库4包括用于对待审计代码风险系数进行评定的风险系数评估模块41。
所述业务沙箱服务器5包括对待审计代码进行攻击的沙箱攻击模块52,对待审计代码越权风险系数进行评估的权限判断模块51。
如图2所示,所述审计规则匹配库6包括存储审计规则的审计规则管理模块61。
所述解决方案匹配库7包括为待审计代码中的漏洞提供解决方案的解决方案匹配模块71。
一种保障源码安全的自动化代码审计平台***包括接入交换机1,包括以下工作步骤:
S1:将待审计代码部署在业务部署服务器3中。
S2:业务部署服务器3中语言识别模块31和版本检测模块32根据待审计代码特征匹配出代码语言、语言版本等特征:例如:,C++语言,C#语言,JAVA,JavaScript,Python2,Python3等。
S3:业务部署服务器3中结构探测模块35根据业务种类探索代码结构,包括文件从属关系或函数定义及调用关系。
S4:业务部署服务器3将探索结果反馈至测试客户端2。
S5:审计人员根据上述结果编写审计规则并将审计规则上传至审计规则匹配库6中审计规则管理模块61等待调用。
S6:业务部署服务器3中入口选择模块34选择待审计代码的数据流入口并获取待审计代码的操作指令。
S7:如操作指令存在危险操作,转操作指令转入业务沙箱服务器5,业务部署服务器3中变量跟踪模块33跟踪数据流。
S8:如操作指令不存在危险操作,业务部署服务器3中变量跟踪模块33跟踪数据流。
S9:风险匹配特征库4根据数据流判定可能存在的待审计代码本身可能存在的漏洞并根据漏洞轻重进行量化分析,得出第一部分待审计代码的风险系数。
S10:业务沙箱服务器5中沙箱攻击模块52利用常见网络攻击工具包括:DDOS攻击、重放攻击、SQL注入、XSS跨站攻击等对待审计代码***进行攻击,根据攻击结果进行量化分析,得出第二部分待审计代码的风险系数。
S11:业务沙箱服务器5中权限判断模块51针对存在的代码越权风险系数进行整合行为,进行分析研判,并根据分析结果进行量化分析,得出第三部分待审计代码的风险系数。
S12:风险匹配特征库4中风险系数评估模块41对对第一部分、第二部分、第三部分审计代码的风险系数进行整合,得出最终的代码审计结果
S13:根据待审计代码存在的漏洞,解决方案匹配模块71匹配解决方案匹配库7中的已有方案连同结果一起反馈至测试客户端2。
以上所述,仅是本发明的较佳实施例而已,并非是对本发明作其它形式的限制,任何熟悉本专业的技术人员可能利用上述揭示的技术内容加以变更或改型为等同变化的等效实施例应用于其它领域,但是凡是未脱离本发明技术方案内容,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与改型,仍属于本发明技术方案的保护范围。

Claims (7)

1.一种保障源码安全的自动化代码审计平台***,其特征在于:包括接入交换机(1),与接入交换机(1)相连的测试客户端(2),用于待审计代码部署的业务部署服务器(3),用于计算待审计代码风险的风险匹配特征库(4),用于在隔离环境下测试的业务沙箱服务器(5),用于审计规则存储的审计规则匹配库(6),用于提供解决方案的解决方案匹配库(7);所述业务部署服务器(3)、风险匹配特征库(4)、业务沙箱服务器(5)、审计规则匹配库(6)、解决方案匹配库(7)均与接入交换机(1)相连。
2.如权利要求1所述的保障源码安全的自动化代码审计平台***,其特征在于:所述业务部署服务器(3)包括用于识别待审计代码语言的语言识别模块(31),用于识别待审计代码版本的版本检测模块(32),对待审计代码中变量入口进行确定的入口选择模块(34),跟踪待审计代码中变量的变量跟踪模块(33),对待审计代码中变量入口进行确定的入口选择模块(34),跟踪待审计代码中变量的变量跟踪模块(33),用于确定待审计代码结构的结构探测模块(35)。
3.如权利要求1所述的保障源码安全的自动化代码审计平台***,其特征在于:所述风险匹配特征库(4)包括用于对待审计代码风险系数进行评定的风险系数评估模块(41)。
4.如权利要求1所述的保障源码安全的自动化代码审计平台***,其特征在于:所述业务沙箱服务器(5)包括对待审计代码进行攻击的沙箱攻击模块(52),对待审计代码越权风险系数进行评估的权限判断模块(51)。
5.如权利要求1所述的保障源码安全的自动化代码审计平台***,其特征在于:所述审计规则匹配库(6)包括存储审计规则的审计规则管理模块(61)。
6.如权利要求1所述的保障源码安全的自动化代码审计平台***,其特征在于:所述解决方案匹配库(7)包括为待审计代码中的漏洞提供解决方案的解决方案匹配模块(71)。
7.如权利要求1所述的保障源码安全的自动化代码审计平台***,其特征在于:包括以下工作步骤:
S1:将待审计代码部署在业务部署服务器(3)中;
S2:业务部署服务器(3)中语言识别模块(31)和版本检测模块(32)根据待审计代码特征匹配出代码语言、语言版本等特征;
S3:业务部署服务器(3)中结构探测模块(35)根据业务种类探索代码结构,包括文件从属关系或函数定义及调用关系;
S4:业务部署服务器(3)将探索结果反馈至测试客户端(2);
S5:审计人员根据上述结果编写审计规则并将审计规则上传至审计规则匹配库(6)中审计规则管理模块(61)等待调用;
S6:业务部署服务器(3)中入口选择模块(34)选择待审计代码的数据流入口并获取待审计代码的操作指令;
S7:如操作指令存在危险操作,转操作指令转入业务沙箱服务器(5),业务部署服务器(3)中变量跟踪模块(33)跟踪数据流;
S8:如操作指令不存在危险操作,业务部署服务器(3)中变量跟踪模块(33)跟踪数据流;
S9:风险匹配特征库(4)根据数据流判定可能存在的待审计代码本身可能存在的漏洞并根据漏洞轻重进行量化分析,得出第一部分待审计代码的风险系数;
S10:业务沙箱服务器(5)中沙箱攻击模块(52)利用常见网络攻击工具对待审计代码***进行攻击,根据攻击结果进行量化分析,得出第二部分待审计代码的风险系数;
S11:业务沙箱服务器(5)中权限判断模块(51)针对存在的代码越权风险系数进行整合行为,进行分析研判,并根据分析结果进行量化分析,得出第三部分待审计代码的风险系数;
S12:风险匹配特征库(4)中风险系数评估模块(41)对对第一部分、第二部分、第三部分审计代码的风险系数进行整合,得出最终的代码审计结果
S13:根据待审计代码存在的漏洞,解决方案匹配模块(71)匹配解决方案匹配库(7)中的已有方案连同结果一起反馈至测试客户端(2)。
CN202011006575.6A 2020-09-23 2020-09-23 一种保障源码安全的自动化代码审计平台*** Active CN112269984B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011006575.6A CN112269984B (zh) 2020-09-23 2020-09-23 一种保障源码安全的自动化代码审计平台***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011006575.6A CN112269984B (zh) 2020-09-23 2020-09-23 一种保障源码安全的自动化代码审计平台***

Publications (2)

Publication Number Publication Date
CN112269984A true CN112269984A (zh) 2021-01-26
CN112269984B CN112269984B (zh) 2023-07-11

Family

ID=74348893

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011006575.6A Active CN112269984B (zh) 2020-09-23 2020-09-23 一种保障源码安全的自动化代码审计平台***

Country Status (1)

Country Link
CN (1) CN112269984B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102682229A (zh) * 2011-03-11 2012-09-19 北京市国路安信息技术有限公司 一种基于虚拟化技术的恶意代码行为检测方法
CN104462988A (zh) * 2014-12-16 2015-03-25 国家电网公司 基于穿行测试技术的信息安全审计实现方法及***
CN104537309A (zh) * 2015-01-23 2015-04-22 北京奇虎科技有限公司 应用程序漏洞检测方法、装置及服务器
CN104537308A (zh) * 2015-01-23 2015-04-22 北京奇虎科技有限公司 提供应用安全审计功能的***及方法
US20150227745A1 (en) * 2014-02-10 2015-08-13 Wipro Limited System and method for sampling based source code security audit
CN110968868A (zh) * 2019-11-20 2020-04-07 北京国舜科技股份有限公司 应用安全审计方法、装置、电子设备及存储介质
CN111008376A (zh) * 2019-12-09 2020-04-14 国网山东省电力公司电力科学研究院 一种基于代码动态分析的移动应用源代码安全审计***
CN111031003A (zh) * 2019-11-21 2020-04-17 中国电子科技集团公司第三十研究所 一种跨网隔离安全***的智能评估***
CN111666218A (zh) * 2020-06-08 2020-09-15 北京字节跳动网络技术有限公司 代码审计方法、装置、电子设备及介质

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102682229A (zh) * 2011-03-11 2012-09-19 北京市国路安信息技术有限公司 一种基于虚拟化技术的恶意代码行为检测方法
US20150227745A1 (en) * 2014-02-10 2015-08-13 Wipro Limited System and method for sampling based source code security audit
CN104462988A (zh) * 2014-12-16 2015-03-25 国家电网公司 基于穿行测试技术的信息安全审计实现方法及***
CN104537309A (zh) * 2015-01-23 2015-04-22 北京奇虎科技有限公司 应用程序漏洞检测方法、装置及服务器
CN104537308A (zh) * 2015-01-23 2015-04-22 北京奇虎科技有限公司 提供应用安全审计功能的***及方法
CN110968868A (zh) * 2019-11-20 2020-04-07 北京国舜科技股份有限公司 应用安全审计方法、装置、电子设备及存储介质
CN111031003A (zh) * 2019-11-21 2020-04-17 中国电子科技集团公司第三十研究所 一种跨网隔离安全***的智能评估***
CN111008376A (zh) * 2019-12-09 2020-04-14 国网山东省电力公司电力科学研究院 一种基于代码动态分析的移动应用源代码安全审计***
CN111666218A (zh) * 2020-06-08 2020-09-15 北京字节跳动网络技术有限公司 代码审计方法、装置、电子设备及介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
向灵孜;: "源代码审计综述", 保密科学技术, no. 12, pages 36 - 41 *
李建;: "局域网恶意代码入侵自动安全监测***设计", 吉林大学学报(信息科学版), vol. 37, no. 05, pages 559 - 565 *

Also Published As

Publication number Publication date
CN112269984B (zh) 2023-07-11

Similar Documents

Publication Publication Date Title
CN108322446B (zh) 内网资产漏洞检测方法、装置、计算机设备和存储介质
CA2803241C (en) Automated security assessment of business-critical systems and applications
US7877780B2 (en) System and method for enforcing functionality in computer software through policies
US20090106843A1 (en) Security risk evaluation method for effective threat management
CN113542279B (zh) 一种网络安全风险评估方法、***及装置
CN112187792A (zh) 一种基于互联网的网络信息安全防护***
KR20090037538A (ko) 정보자산 모델링을 이용한 위험 평가 방법
CN112637220A (zh) 一种工控***安全防护方法及装置
CN112653654A (zh) 安全监控方法、装置、计算机设备及存储介质
Mutemwa et al. Integrating a security operations centre with an organization’s existing procedures, policies and information technology systems
CN112804212A (zh) 一种信息安全评估***
CN113992386A (zh) 一种防御能力的评估方法、装置、存储介质及电子设备
CN112688971B (zh) 功能损害型网络安全威胁识别装置及信息***
CN117527297A (zh) 一种基于域名的网络安全检测***
Thangavelu et al. Comprehensive Information Security Awareness (CISA) in Security Incident Management (SIM): A Conceptualization.
CN112269984B (zh) 一种保障源码安全的自动化代码审计平台***
KR101399326B1 (ko) 정보보안을 위한 증적추적 장치 및 방법
CN110958236A (zh) 基于风险因子洞察的运维审计***动态授权方法
KR102372541B1 (ko) Ics 통합 보안 관리 시스템 및 방법
CA3142747A1 (en) Software application for continually assessing, processing, and remediating cyber-risk in real time
CN111740976A (zh) 一种网络安全甄别研判***及方法
KR102330404B1 (ko) 통합 보안 진단 방법 및 장치
Leniski et al. Securing the biometric model
CN111355688A (zh) 一种基于ai技术自动渗透、分析的核心方法及装置
Ziro et al. Improved Method for Penetration Testing of Web Applications.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant