CN112329020A - 一种基于电力数据中台安全规则的自动化检测方法及装置 - Google Patents
一种基于电力数据中台安全规则的自动化检测方法及装置 Download PDFInfo
- Publication number
- CN112329020A CN112329020A CN202011221311.2A CN202011221311A CN112329020A CN 112329020 A CN112329020 A CN 112329020A CN 202011221311 A CN202011221311 A CN 202011221311A CN 112329020 A CN112329020 A CN 112329020A
- Authority
- CN
- China
- Prior art keywords
- safety
- robot
- scanning
- data
- task
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 49
- 238000000034 method Methods 0.000 claims abstract description 47
- 238000004458 analytical method Methods 0.000 claims abstract description 30
- 238000007689 inspection Methods 0.000 claims abstract description 23
- 238000012795 verification Methods 0.000 claims abstract description 5
- 230000008569 process Effects 0.000 claims description 26
- 230000006870 function Effects 0.000 claims description 18
- 238000012545 processing Methods 0.000 claims description 16
- 238000004806 packaging method and process Methods 0.000 claims description 9
- 238000007726 management method Methods 0.000 claims description 7
- 238000012544 monitoring process Methods 0.000 claims description 6
- 238000012356 Product development Methods 0.000 claims description 3
- 238000013524 data verification Methods 0.000 claims description 3
- 230000001960 triggered effect Effects 0.000 claims description 3
- 238000005538 encapsulation Methods 0.000 claims description 2
- 230000007246 mechanism Effects 0.000 claims description 2
- 238000003672 processing method Methods 0.000 claims description 2
- 238000012360 testing method Methods 0.000 description 28
- BUGBHKTXTAQXES-UHFFFAOYSA-N Selenium Chemical compound [Se] BUGBHKTXTAQXES-UHFFFAOYSA-N 0.000 description 8
- 229910052711 selenium Inorganic materials 0.000 description 8
- 239000011669 selenium Substances 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 230000003068 static effect Effects 0.000 description 5
- 239000003795 chemical substances by application Substances 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000002347 injection Methods 0.000 description 4
- 239000007924 injection Substances 0.000 description 4
- 238000013515 script Methods 0.000 description 4
- 230000010354 integration Effects 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000009193 crawling Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种基于电力数据中台安全规则的自动化检测方法及装置,建立自动化调度的应用架构,通过命令机器人对编码进行中台规范的源码规范检查,对源码进行安全性的扫描,检测源码的各种安全漏洞、内存漏洞;通过实体操作机器人对源码进行安全性的扫描,检测源码的各种安全漏洞、内存漏洞;流程调度平台在源码经过源码检查机器人扫描过后,对源码进行打包,并把系统推送到安全验证环境进行部署;通过命令机器人对部署的应用进行中台安全运行的规则进行检测和扫描,并输出报告和分析结果。本发明解决了数据中台安全性的自动化问题,解决数据中台检测投入人力多、成本高、周期长的问题。
Description
技术领域
本发明属于软件技术领域,涉及一种电力数据中台的,安全检测规则的自动化架构,具体说是一种基于电力数据中台安全规则的自动化检测方法及装置。
背景技术
在自动检测领域,有非常多的零散的落地实践功能。需要把这些实践功能集成起来实现,devops理念的出现给流程自动化提供了流程调度的支持。源码编写规则的checkstyle提供规范约束检查;fortify提供静态代码分析能力;checkmarx提供识别、跟踪和修复源代码中技术上和逻辑上缺陷的能力;appscan 提供对Web应用程序的安全漏洞进行测试的能力。
编码规则检查:
对数据中台的源码进规范的检查;Checkstyle是一款检查java程序代码样式的工具,可以有效的帮助检视代码以便更好的遵循代码编写标准,特别适用于开发时彼此间的样式规范和统一。Checkstyle提供了高可配置性,以便适用于各种代码规范,所以除了业界标准的代码规范外,数据中台也定义了自己的标准。能够自动化代码规范检查过程,从而使得开发人员从这项重要,但是枯燥的任务中解脱出来。
安全规则检查:
Fortify 能够提供静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护功能。为实现高效安全监测,Fortify具有源代码安全分析,可精准定位漏洞产生的路径,以及具有1分钟1万行的扫描速度。
Fortify是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对数据中台各种组件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将数据中台源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息,还会有相关的安全知识的说明,以及修复意见的提供。
运行规则检查:
AppScan是IBM公司出的一款Web应用安全测试工具,采用黑盒测试的方式,扫描网站所有url,自动测试是否存在各种类型的漏洞。
其工作原理,首先是根据起始页爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入原理进行测试是否存在注入点以及跨站脚本攻击的可能;同时还会对cookie管理、会话周期等常见的web安全漏洞进行检测。
AppScan功能十分齐全,支持登录功能并且拥有十分强大的报表。通过录制数据中台各个应用组件的安全扫描规则,扫描完成后,输出扫描结果;在扫描结果中,不仅能够看到扫描的漏洞,还提供了详尽的漏洞原理、修改建议、手动验证等功能。
流程调度工具:
Jenkins流水线是一套插件,支持将连续输送流水线实施和整合到Jenkins。流水线提供了一组可扩展的工具,用于通过流水线DSL为代码创建简单到复杂的传送流水线。
经过上述分析,鉴于这些方式提供了一些基础设置,但缺乏整合的方式和渠道,很难对电力数据中台提供支撑。通过提供机器人技术、整合技术,把各种安全规则的应用插件组装起来,为电力数据中台安全提供自动化检测的功能是非常有价值。
发明内容
本发明的目的是提供一种基于电力数据中台安全规则的自动化检测方法及装置,该方法提出了一个自动化调度的应用架构,利用自动化机器人,对系统内的各种安全检测工具进行整合,通过自动化机器人驱动,对数据中台进行安全规则检测,并能对检测通过后的数据中台组件进行部署。
本发明的目的通过以下技术方案实现:
一种基于电力数据中台安全规则的自动化检测方法,其特征在于:建立自动化调度的应用架构,利用自动化机器人,对系统内的各种安全检测工具进行整合,通过自动化机器人驱动,对数据中台进行安全规则检测,并对检测通过后的数据中台组件进行部署;包括以下步骤:
(1)定义安全检测规则;
(2)对从代码管理平台下载的源码,通过命令机器人对编码进行中台规范的源码规范检查,并输出报告和分析结果;
(3)通过命令机器人对源码进行安全性的扫描,检测源码的各种安全漏洞、内存漏洞,并输出报告和分析结果;
(4)通过实体操作机器人对源码进行安全性的扫描,检测源码的各种安全漏洞、内存漏洞,并输出报告和分析结果;
(5)流程调度平台,在源码经过源码检查机器人扫描过后,对源码进行打包,并把系统推送到安全验证环境进行部署;
(6)通过命令机器人对部署的应用进行中台安全运行的规则进行检测和扫描,并输出报告和分析结果;
(7)针对扫描结果,步骤(2)和步骤(3)和步骤(4)中的扫描结果如果有重大隐患,则流程步骤自动终止,输出结果。
进一步,步骤(1)包括流程调度编排和检查机器人编排。
步骤(2)中的命令机器人,通过解析处理Checkstyle定制的数据中台代码规范,对数据中台各种应用代码的编写格式和规范检查。步骤(3)中的命令机器人,通过解析处理Fortify 定制的数据中台安全规范,对数据中台各种应用代码的安全规则和漏洞扫描。
步骤(4)中的实体操作机器人,通过解析处理Checkmarx定制的数据中台安全规范,对数据中台各种应用代码的安全规则和漏洞扫描。
步骤(5)中的流程调度平台,对各个自动化的机器人进行流程的自动编排;流程调度平台和自动化机器人相互协作,完成所有数据中台的检测工作,通过流程调度平台去触发安全检测规则的各个机器人执行,同时获取机器人执行的结果,进行分析,并流转调度;让安全检测自然的融合到产品开发过程中。
步骤(6)中的命令机器人,通过录制的功能检查路径,通过解析处理Appscan定制的数据中台运行规范,对于运行的数据中台功能和应用进行运行期安全检测和扫描。
一种用于基于电力数据中台安全规则的自动化检测方法的装置,其特征在于:包括配置规则模块、流程模块、存储器、扫描模块、机器人模块和解析处理器;配置规则模块进行安全规则配置;流程模块完成源码下载,下载的代码保存在存储器中;流程模块构建流程调度平台,并把构建包推送到指定的安全环境;流程模块调用扫描模块和机器人模块,对运行的系统进行运行安全扫描,并把扫描的结果保存在存储器中;流程模块根据解析处理器解析的结果进行判断,有安全问题,则安全检测不通过。
本发明利用一组自动化的机器人,针对不同安全规则检测工具;一个自动化调度框架,驱动安全工具检测电力数据中台。
流程调度平台:
本系统驱动jenkins主要用到了jenkins client api技术jenkins client api是使用jenkins的restapi的一段java代码,可以触发构建、提取数据中台扫描作业或构建的信息等。所提取的信息将以java对象表示,用户可以将这些对象用于其他用途,或者将该对象集成到其他部分中以实现更高级别的集成。
本系统中fortify和appscan的代理主要运用到了java 本地执行技术。利用Java中Process类提供的方法让Java虚拟机,启动一个子进程,利用这个子进程去驱动执行安全测试工具提供的命令功能,同时通过Java虚拟机去截获被调用命令的DOS运行窗口的标准输出。这就能通过代理去执行安全扫描工具的功能,并能对输出的内容进行解析分析,生成对应的扫描结果报告。
命令机器人,通过消息系统获取扫描任务;获取需要执行的数据中台信息,针对中台源码类的安全任务,从源码仓库拉取源码执行安全扫描;针对运行安全的任务,获取数据中台的访问信息,执行运行扫描探测。
本系统中checkmax代理使用了Selenium(web自动化工具),Selenium是一个用于Web应用程序测试的工具。Selenium测试直接运行在浏览器中,就像真正的用户在操作一样。这个工具的主要功能包括:测试与浏览器的兼容性——测试你的应用程序看是否能够很好得工作在不同浏览器和操作系统之上。测试系统功能——创建回归测试检验软件功能和用户需求。支持自动录制动作和自动生成 .Net、Java、Perl等不同语言的测试脚本。
与其他测试工具相比,使用 Selenium 的最大好处是:
Selenium 测试直接在浏览器中运行,就像真实用户所做的一样。Selenium 测试可以在 Windows、Linux 和 Macintosh上的 Internet Explorer、Chrome和 Firefox 中运行。其他测试工具都不能覆盖如此多的平台。使用 Selenium 和在浏览器中运行测试还有很多其他好处。
通过编写模仿用户操作的 Selenium 测试脚本,可以从终端用户的角度来测试应用程序。通过在不同浏览器中运行测试,更容易发现浏览器的不兼容性。Selenium 的核心,也称browser bot,是用 JavaScript 编写的。这使得测试脚本可以在受支持的浏览器中运行。browser bot 负责执行从测试脚本接收到的命令,测试脚本要么是用 HTML 的表布局编写的,要么是使用一种受支持的编程语言编写的。
实体操作机器人,从消息系统获取扫描任务;从平台获取扫描工具的访问和操作信息,通过自动化模拟人对数据中台源码操作进行安全扫描,并输出扫描报告和解析结果。
本发明对电力系统的数据中台进行全面的安全规则检测;通过自动化的检测技术,检测系统源码的变化,通过自动化机器人对系统进行安全检测,通过电力安全检测的规则的数据中台组件才能上线试运行;安全检测中的编码规则适用于各种代码规范,除了使用业界的代码标准检测规范外,针对数据中台还定制了符合中台特色的标准。它能够自动化代码规范检查过程;安全检测中的安全规则提供静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护功能;安全检测中的运行检测规则爬取站下所有可见的页面,同时测试常见的管理后台;获得所有页面之后利用SQL注入原理进行测试是否存在注入点以及跨站脚本攻击的可能;同时还会对cookie管理、会话周期等常见的web安全漏洞进行检测。
本发明的有益效果是:
本发明通过机器人和流水线技术,让安全检测规则自然的融合到数据中台的研发和上线过程中,减少人为干预,减少了因为人为疏忽导致系统安全问题泄漏到生产过程中,提升了电力数据中台的运行安全,解决了数据中台安全性的自动化问题,解决数据中台检测投入人力多、成本高、周期长的问题。
附图说明
图1 是本发明实施例中整体逻辑处理的流程图。
图2 是本发明实施例中流程调度平台处理的时序图。
具体实施方式
以下结合附图和具体实施例对本发明进行详细说明。
一种基于电力数据中台安全规则的自动化检测方法,首先建立自动化调度的应用架构,利用自动化机器人,对系统内的各种安全检测工具进行整合,通过自动化机器人驱动,对数据中台进行安全规则检测,并对检测通过后的数据中台组件进行部署。图1 是本发明实施例中整体逻辑处理的流程图。简单描述整个系统处理的总体流程。包括以下步骤:
(1)定义安全检测规则;建立自动化调度的应用架构,包括流程调度编排和检查机器人编排。
(2)对从代码管理平台下载的源码,通过命令机器人对编码进行中台规范的源码规范检查,并输出报告和分析结果;通过解析处理Checkstyle定制的数据中台代码规范,对数据中台各种应用代码的编写格式和规范检查。
(3)通过命令机器人对源码进行安全性的扫描,检测源码的各种安全漏洞、内存漏洞,并输出报告和分析结果;通过解析处理Fortify 定制的数据中台安全规范,对数据中台各种应用代码的安全规则和漏洞扫描。
(4)通过实体操作机器人对源码进行安全性的扫描,检测源码的各种安全漏洞、内存漏洞,并输出报告和分析结果;通过解析处理Checkmarx定制的数据中台安全规范,对数据中台各种应用代码的安全规则和漏洞扫描。
(5)流程调度平台,在源码经过源码检查机器人扫描过后,对源码进行打包,并把系统推送到安全验证环境进行部署。
(6)通过命令机器人对部署的应用进行中台安全运行的规则进行检测和扫描,并输出报告和分析结果;通过录制的功能检查路径,通过解析处理Appscan定制的数据中台运行规范,对于运行的数据中台功能和应用进行运行期安全检测和扫描。
(7)针对扫描结果,步骤(2)和步骤(3)和步骤(4)中的扫描结果如果有重大隐患,则流程步骤自动终止,输出结果。
一种用于基于电力数据中台安全规则的自动化检测方法的装置,包括配置规则模块、流程模块、存储器、扫描模块、机器人模块和解析处理器;配置规则模块进行安全规则配置;流程模块完成源码下载,下载的代码保存在存储器中;流程模块构建流程调度平台,并把构建包推送到指定的安全环境;流程模块调用扫描模块和机器人模块,对运行的系统进行运行安全扫描,并把扫描的结果保存在存储器中;流程模块根据解析处理器解析的结果进行判断,有安全问题,则安全检测不通过。
本发明应用于电力数据中台各模块组件的应用中,包括自动化机器人以及流程调度平台两部分。图2 是本发明实施例中流程调度平台处理的时序图,描述流程调度编排的处理时序和步骤。
流程调度平台具体如下:
1.流程调度编排
1)封装流水线参数,创建安全检查任务。
2)通过调用Jenkins Client Api的方式,在Jenkins生成相应的安全检查任务,并触发任务的执行操作。
3)在Jenkins中集成消息系统的消息队列,在Jenkins任务执行完成后将任务的执行结果发送到消息系统的消息队列中。
4)通过消息系统监听机制,启动对指定消息系统队列的消息监听,当队列中接收到新的消息数据时,获取该消息数据。
5)根据不同任务,对数据结果进行分发处理,调用指定的处理方法,保存任务执行结果。
6)根据任务编码获取安全检查任务信息,获取安全检查任务名称即相应的Jenkins服务的任务名称。
7)获取Jenkins任务执行日志,将返回的String类型的日志结果信息,生成pdf文件,并保存至服务器。
自动化机器人具体如下:
1、检查机器人编排
1)页面参数转化:将用户在页面上填写的代码扫描任务参数信息进行数据校验、数据处理、数据封装。
2)保存流水线:将处理完成的数据封装至相应的代码检查流水线对象中,将流水线信息保存至数据库。
3)保存流水线任务:将处理完成的数据封装至相应的流水线任务对象中,将流水线任务信息保存至数据库。
4)检查机器人接收到调度任务。
5) 检查机器人开启扫描任务: 将封装的数据中台扫描信息以参数的形式,调用Fortify/CheckMarx服务创建任务的开启Fortify/CheckMarx任务。
2、安全命令机器人
1) 远程启动Java 代理扫描程序: 通过远程调用Java 启动的服务,触发代码扫描程序。命令机器人,通过解析处理Checkstyle定制的数据中台代码规范,对数据中台各种应用代码的编写格式和规范检查,并输出报告和分析结果。
2) 添加扫描记录: 对记录当次Fortify扫描的参数进行数据校验、数据封装,保存至数据库。
3) 添加任务至扫描队列: 对Fortify扫描任务添加到扫描队列中,对并发访问进行控制。
4) 拉取Git 代码至本地: 根据Fortify扫描任务的Git配置信息,拉取数据中台的仓库代码保存至本地。
5) 执行漏洞扫描: 调用Fortify客户端程序进行数据中台代码漏洞扫描。
6) 扫描完成生成Fortify报告: Fortify扫描任务结束,生成代码漏洞扫描报告,将报告保存在本地。
7) 保存漏洞明细: 分析数据中台扫描报告中的代码漏洞信息,将漏洞明细根据扫描任务的信息,保存至数据库中。
3、实体操作机器人
1) 远程启动Java 代理扫描程序: 通过远程调用Java 启动的服务,触发实体操作机器人操作。
2)添加任务至扫描队列: 把Checkmarx扫描任务添加到扫描队列中,对并发访问进行控制。
3) 登陆安全系统并上传代码: 机器人登陆checkmarx安全系统,并把数据中台系统源码自动上传到安全系统。
4) 执行漏洞扫描: 通过Checkmarx系统排队,等待执行数据中台源码扫描,输出扫描结果。
5) 推送CheckMarx结果至消息系统: 调用CheckMarx扫描服务中集成的消息系统接口,将扫描结果信息推送至消息系统。
6) 获取CheckMarx任务直接结果信息: 根据CheckMarx的Java Agent 配置信息查询执行目录,获取该任务所生成的任务执行结果信息。
7) 转储CheckMarx任务执行结果文件: 将生成的执行结果文件转储到指定的服务器附件存储目录。
8) 更新CheckMarx任务明细信息: 获取该任务所对应的执行结果信息,根据任务的执行结果信息重新封装保存至数据库。
本发明中的流程调度平台,对各个自动化的机器人进行流程的自动编排;流程调度平台和自动化机器人相互协作,完成所有数据中台的检测工作,通过流程调度平台去触发安全检测规则的各个机器人执行,同时获取机器人执行的结果,进行分析,并流转调度;让安全检测自然的融合到产品开发过程中,减少人为干预,提升了电力数据中台的运行安全。
Claims (8)
1.一种基于电力数据中台安全规则的自动化检测方法,其特征在于:包括以下步骤:
(1)定义安全检测规则;
(2)对从代码管理平台下载的源码,通过命令机器人对编码进行中台规范的源码规范检查,并输出报告和分析结果;
(3)通过命令机器人对源码进行安全性的扫描,检测源码的各种安全漏洞、内存漏洞,并输出报告和分析结果;
(4)通过实体操作机器人对源码进行安全性的扫描,检测源码的各种安全漏洞、内存漏洞,并输出报告和分析结果;
(5)流程调度平台,在源码经过源码检查机器人扫描过后,对源码进行打包,并把系统推送到安全验证环境进行部署;
(6)通过命令机器人对部署的应用进行中台安全运行的规则进行检测和扫描,并输出报告和分析结果;
(7)针对扫描结果,步骤(2)和步骤(3)和步骤(4)中的扫描结果如果有重大隐患,则流程步骤自动终止,输出结果。
2.根据权利要求1所述的基于电力数据中台安全规则的自动化检测方法,其特征在于:步骤(1)包括流程调度编排和检查机器人编排;流程调度编排具体如下:
1)封装流水线参数,创建安全检查任务;
2)在Jenkins生成相应的安全检查任务,并触发任务的执行操作;
3)在Jenkins中集成消息系统的消息队列,在Jenkins任务执行完成后将任务的执行结果发送到消息系统的消息队列中;
4)通过消息系统监听机制,启动对指定消息系统队列的消息监听,当队列中接收到新的消息数据时,获取该消息数据;
5)根据不同任务,对数据结果进行分发处理,调用指定的处理方法,保存任务执行结果;
6)根据任务编码获取安全检查任务信息,获取安全检查任务名称即相应的Jenkins服务的任务名称;
7)获取Jenkins任务执行日志,将返回的String类型的日志结果信息,生成pdf文件,并保存至服务器;
检查机器人编排具体如下:
1)将用户在页面上填写的代码扫描任务参数信息进行数据校验、数据处理、数据封装;
2)将处理完成的数据封装至相应的代码检查流水线对象中,将流水线信息保存至数据库;
3)将处理完成的数据封装至相应的流水线任务对象中,将流水线任务信息保存至数据库;
4)检查机器人接收到调度任务;
5)将封装的数据中台扫描信息以参数的形式,调用Fortify/CheckMarx服务创建任务的开启Fortify/CheckMarx任务。
3.根据权利要求1所述的基于电力数据中台安全规则的自动化检测方法,其特征在于:步骤(2)中的命令机器人,通过解析处理Checkstyle定制的数据中台代码规范,对数据中台各种应用代码的编写格式和规范检查。
4.根据权利要求1所述的基于电力数据中台安全规则的自动化检测方法,其特征在于:步骤(3)中的命令机器人,通过解析处理Fortify 定制的数据中台安全规范,对数据中台各种应用代码的安全规则和漏洞扫描。
5.根据权利要求1所述的基于电力数据中台安全规则的自动化检测方法,其特征在于:步骤(4)中的实体操作机器人,通过解析处理Checkmarx定制的数据中台安全规范,对数据中台各种应用代码的安全规则和漏洞扫描。
6.根据权利要求1所述的基于电力数据中台安全规则的自动化检测方法,其特征在于:步骤(5)中的流程调度平台,对各个自动化的机器人进行流程的自动编排;流程调度平台和自动化机器人相互协作,完成所有数据中台的检测工作,通过流程调度平台去触发安全检测规则的各个机器人执行,同时获取机器人执行的结果,进行分析,并流转调度;让安全检测自然的融合到产品开发过程中。
7.根据权利要求1所述的基于电力数据中台安全规则的自动化检测方法,其特征在于:步骤(6)中的命令机器人,通过录制的功能检查路径,通过解析处理Appscan定制的数据中台运行规范,对于运行的数据中台功能和应用进行运行期安全检测和扫描。
8.一种用于基于电力数据中台安全规则的自动化检测方法的装置,其特征在于:包括配置规则模块、流程模块、存储器、扫描模块、机器人模块和解析处理器;配置规则模块进行安全规则配置;流程模块完成源码下载,下载的代码保存在存储器中;流程模块构建流程调度平台,并把构建包推送到指定的安全环境;流程模块调用扫描模块和机器人模块,对运行的系统进行运行安全扫描,并把扫描的结果保存在存储器中;流程模块根据解析处理器解析的结果进行判断,有安全问题,则安全检测不通过。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011221311.2A CN112329020A (zh) | 2020-11-05 | 2020-11-05 | 一种基于电力数据中台安全规则的自动化检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011221311.2A CN112329020A (zh) | 2020-11-05 | 2020-11-05 | 一种基于电力数据中台安全规则的自动化检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112329020A true CN112329020A (zh) | 2021-02-05 |
Family
ID=74315908
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011221311.2A Pending CN112329020A (zh) | 2020-11-05 | 2020-11-05 | 一种基于电力数据中台安全规则的自动化检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112329020A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113392784A (zh) * | 2021-06-18 | 2021-09-14 | 湖北中烟工业有限责任公司 | 一种基于漏洞指纹识别的应用安全检测任务自动编排方法 |
| CN114979100A (zh) * | 2022-04-15 | 2022-08-30 | 深信服科技股份有限公司 | 一种云资源检查方法及相关装置 |
| CN115913934A (zh) * | 2022-12-01 | 2023-04-04 | 中电云数智科技有限公司 | 一种自动化DevSecOps CD流水线配置方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108334437A (zh) * | 2018-03-02 | 2018-07-27 | 江苏电力信息技术有限公司 | 一种基于持续集成及自动化测试的软件持续交付验收方法 |
| CN109344080A (zh) * | 2018-10-31 | 2019-02-15 | 江苏电力信息技术有限公司 | 持续交付与自动化测试一体化集成的软件质量保障方法 |
| CN111008376A (zh) * | 2019-12-09 | 2020-04-14 | 国网山东省电力公司电力科学研究院 | 一种基于代码动态分析的移动应用源代码安全审计系统 |
| CN111240998A (zh) * | 2020-02-17 | 2020-06-05 | 网易(杭州)网络有限公司 | 测试用例处理方法和装置 |
-
2020
- 2020-11-05 CN CN202011221311.2A patent/CN112329020A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108334437A (zh) * | 2018-03-02 | 2018-07-27 | 江苏电力信息技术有限公司 | 一种基于持续集成及自动化测试的软件持续交付验收方法 |
| CN109344080A (zh) * | 2018-10-31 | 2019-02-15 | 江苏电力信息技术有限公司 | 持续交付与自动化测试一体化集成的软件质量保障方法 |
| CN111008376A (zh) * | 2019-12-09 | 2020-04-14 | 国网山东省电力公司电力科学研究院 | 一种基于代码动态分析的移动应用源代码安全审计系统 |
| CN111240998A (zh) * | 2020-02-17 | 2020-06-05 | 网易(杭州)网络有限公司 | 测试用例处理方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 王俊 等: "基于流水线理念持续集成与持续交付平台的设计与实现", 《软件工程》, pages 110 - 121 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113392784A (zh) * | 2021-06-18 | 2021-09-14 | 湖北中烟工业有限责任公司 | 一种基于漏洞指纹识别的应用安全检测任务自动编排方法 |
| CN113392784B (zh) * | 2021-06-18 | 2023-11-14 | 湖北中烟工业有限责任公司 | 一种基于漏洞指纹识别的应用安全检测任务自动编排方法 |
| CN114979100A (zh) * | 2022-04-15 | 2022-08-30 | 深信服科技股份有限公司 | 一种云资源检查方法及相关装置 |
| CN114979100B (zh) * | 2022-04-15 | 2024-02-23 | 深信服科技股份有限公司 | 一种云资源检查方法及相关装置 |
| CN115913934A (zh) * | 2022-12-01 | 2023-04-04 | 中电云数智科技有限公司 | 一种自动化DevSecOps CD流水线配置方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112329020A (zh) | 一种基于电力数据中台安全规则的自动化检测方法及装置 | |
| CN109344080A (zh) | 持续交付与自动化测试一体化集成的软件质量保障方法 | |
| Romano et al. | An empirical analysis of UI-based flaky tests | |
| CN108334437A (zh) | 一种基于持续集成及自动化测试的软件持续交付验收方法 | |
| Mohammadi et al. | Detecting cross-site scripting vulnerabilities through automated unit testing | |
| CN104156224B (zh) | 一种软件构建持续集成方法及系统 | |
| CN106529304B (zh) | 一种安卓应用并发漏洞检测系统 | |
| CN106227654A (zh) | 一种测试平台 | |
| Stivalet et al. | Large scale generation of complex and faulty PHP test cases | |
| CN111026638A (zh) | 一种网页自动化测试方法、装置、电子设备和存储介质 | |
| CN108228312B (zh) | 通过解释器执行代码的系统和方法 | |
| CN117370203A (zh) | 自动化测试方法、系统、电子设备及存储介质 | |
| CN111309589A (zh) | 一种基于代码动态分析的代码安全扫描系统及方法 | |
| CN107480048A (zh) | 测试工具生成方法、装置、存储介质及计算机设备 | |
| Thooriqoh et al. | Selenium Framework for Web Automation Testing: A Systematic Literature Review | |
| Cui et al. | Design and Analysis of a Mobile Automation Testing Framework: Evidence and AI Enhancement from Chinese Internet Technological Companies: A Case Study | |
| Büchler et al. | Model inference and security testing in the spacios project | |
| CN115587028A (zh) | 接口自动化测试方法、系统、介质及终端 | |
| Alakeel | Dependency Detection and Repair in Web Application Tests. | |
| CN115514677A (zh) | 服务器拨测方法及系统 | |
| CN114281709A (zh) | 一种单元测试方法、系统、电子设备及存储介质 | |
| CN112035356B (zh) | 一种web应用兼容性的自动化测试方法及系统 | |
| CN114880239A (zh) | 一种基于数据驱动的接口自动化测试框架及方法 | |
| CN114579457A (zh) | 新型电力系统固件运行仿真平台及仿真方法 | |
| Ibrahim et al. | Finite State Machine-Model Based Testing on Website Application |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210205 |