CN112906006B - 一种软件开发管理方法和平台 - Google Patents
一种软件开发管理方法和平台 Download PDFInfo
- Publication number
- CN112906006B CN112906006B CN202110174116.7A CN202110174116A CN112906006B CN 112906006 B CN112906006 B CN 112906006B CN 202110174116 A CN202110174116 A CN 202110174116A CN 112906006 B CN112906006 B CN 112906006B
- Authority
- CN
- China
- Prior art keywords
- software development
- security
- detection
- file
- rules
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Abstract
本发明涉及计算机技术领域,具体涉及一种软件开发管理方法和平台。所述方法包括:根据预先集成的SDK安全探针对从目标渠道获取的软件开发文件进行安全检测;检测通过后,上传所述软件开发文件;根据所述SDK,在所述软件开发文件执行开发指令的进程中进行目标检测。本申请提供的技术方案将安全SDK探针服务植入到软件开发的各个进程业务服务中,提高了软件开发的环境安全和文件安全,同时能够帮助运营感知安全威胁。
Description
技术领域
本发明涉及计算机技术领域,具体涉及一种软件开发管理方法和平台。
背景技术
目前在日常研发过程中,为了提高业务系统的整体安全性、防止出现常见的WEB安全漏洞,安全规则线一般通过发布安全开发规范的方式进行管控。针对安全规范落实情况,一般通过调查反馈、定点抽查、定期抽查等方式进行事后排查和统计。这种方式存在着诸多问题,例如安全规范的开发实际效果依赖于研发人员自身的开发经验、及其自身所掌握的安全技能;缺乏统一安全服务管理平台,例如校验码服务,目前依赖项目组自己实现,安全强度参差不齐;安全开发规范无法有效地进行落地,开发环节引入的等高危漏洞仍然高发。
发明内容
本申请的目的旨在至少能解决上述的技术缺陷之一。本申请所采用的技术方案如下:
第一方面,本申请实施例公开了一种软件开发管理方法,所述方法应用于软件开发管理平台,其中,所述方法包括:
根据预先集成的SDK安全探针对从目标渠道获取的软件开发文件进行安全检测;
检测通过后,上传所述软件开发文件;
根据所述SDK,在所述软件开发文件执行开发指令的进程中进行目标检测。
进一步地,所述目标渠道包括但不限于:移动端、电脑端、小程序。
进一步地,所述集成SDK安全探针包括:
获取软件开发过程中的标准规则和自定义的个性规则;
将所述标准规则和个性规则存储于目标程序文件中;其中所述目标程序文件为SDK安全探针。其中,所述标准/个性规则包括:安全规则和管理规则;进一步地,
所述安全规则包括但不限于以下至少一种:SQL防注入检测、XSS检测、文件上传检测、URL重定向检测、CSRF检测、SSRF检测、Readobject反序列检测、XXE检测。
所述管理规则包括但不限于以下至少一种:
账号管理规则、报表统计规则、在线测试规则。
进一步地,对从目标渠道获取的软件开发文件进行安全检测包括:
根据安全规则,校验所述软件开发文件是否为合法文件;
校验通过,则对所述软件开发文件进行防攻击处理和/或安全扫描处理。
进一步地,所述方法还包括:
如果所述软件开发文件通过防攻击处理和/或安全扫描,则将所述软件开发文件上传至软件开发管理平台中;
如果所述软件开发文件未通过防攻击处理和/或安全扫描,则将所述处理过的软件开发文件存储于中转服务器中。
进一步地,所述软件开发文件上传至软件安全管理平台之后,所述利用所述SDK安全探针进行目标检测包括:
根据所述安全规则,对处理过的软件开发文件再次进行安全检测;其中所述安全规则至少包括:SQL防注入检测、XSS检测、URL重定向检测、CSRF检测、SSRF检测、Readobject反序列检测、XXE检测、自定义安全规则。
进一步地,在将所述软件开发文件上传之后,所述方法还包括:
接收用户输入的软件开发管理平台登录信息;其中所述登录信息包括用户账户信息;
向所述用户预存于软件开发管理平台的通讯介质发送安全校验码;其中所述安全校验码可以为文字校验码、数字校验码、算数校验码和图形校验码;
接收并校验所述用户输入的账户信息和安全校验码信息,校验通过则登录成功。
进一步地,在所述用户登录软件开发平台后,所述方法还包括:
根据所述软件开发管理平台预留的用户信息获取所述用户对所述软件开发文件的权限信息;
根据所述权限信息,控制所述用户在所述权限内对所述软件开发文件执行开发操作。
进一步地,所述方法还包括:
将所述校验未通过和/或SDK安全探针检测未通过的风险软件开发文件存储于文件中转服务器中;
对预设周期内的风险软件开发文件进行统计分析,确定所述风险软件开发文件的风险类型;
根据所述统计分析结果,生成所述风险软件开发文件的风险报告。
进一步地,所述方法还包括:
根据所述风险报告和预设告警机制,向用户发送风险告警信息。
另一方面本申请实施例提供了一种软件开发管理平台,所述平台包括:通讯模块、存储模块、上传模块、检测模块和执行模块,其中,
所述通讯模块,还用于从目标渠道获取的软件开发文件;
所述存储模块,用于存储SDK安全探针;
所述检测模块,用于根据预先集成的SDK安全探针对从目标渠道获取的软件开发文件进行安全检测;
所述上传模块,用于在所述安全检测通过后,上传所述软件开发文件;
所述执行模块,用于根据所述SDK安全探针,在所述软件开发文件执行开发指令的进程中进行目标检测。
进一步地,所述通讯模块还用于获取软件开发过程中的标准规则和自定义的个性规则;其中所述标准/个性规则包括:安全规则和管理规则;
所述存储模块,还用于将所述标准规则和个性规则存储于目标程序文件中;其中所述目标程序文件为SDK安全探针。
进一步地,所述执行模块还用于对软件开发文件进行防攻击处理和/或安全扫描检测,检测通过,则所述上传模块还用于将所述软件开发文件上传至软件开发管理平台中;
检测不通过,则所述上传模块则用于将所述处理过的软件开发文件存储于中转服务器中。
第三方面,本申请实施例提供了一种电子设备,包括处理器和存储器;
所述存储器,用于存储操作指令;
所述处理器,用于通过调用所述操作指令,执行上述任一实施例中所述的方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一实施例所述的方法。
本申请实施例提供的软件开发管理方案根据预先集成的SDK安全探针对从目标渠道获取的软件开发文件进行安全检测;检测通过后,上传所述软件开发文件;根据所述SDK,在所述软件开发文件执行开发指令的进程中进行目标检测。本申请实施例提供的技术方案主要针对应用开发问题导致的业务系统漏洞,通过安全开发服务系统对外提供标准安全开发组件、服务,直接提高开发环节安全性,避免开发过程引入安全漏洞。针对安全开发环节,将SDK安全探针服务植入到各软件开发的各个进程业务服务中,提高了软件开发的环境安全和文件安全,同时能够帮助运营感知安全威胁。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对本申请实施例描述中所需要使用的附图作简单地介绍。
图1为本申请实施例提供的一种软件开发管理方法的流程示意图;
图2为本申请实施例提供的一种软件开发管理平台的结构示意图;
图3为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面详细描述本申请的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本申请,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式,其中的“第一”“第二”等只是为了介绍清楚方案而进行的对象区分定义,并不对对象本身进行限制,当然“第一”和“第二”限定的对象可能是同一个终端、设备和用户等,也可能是同一种终端、设备和用户。应该进一步理解的是,本申请的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
此外应理解,本申请实施例中“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A、B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一(项)个”或其类似表达,是指的这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a、b或c中的至少一项(个),可以表示:a,b,c,a和b,a和c,b和c,或a、b和c,其中a、b、c可以是单个,也可以是多个。
目前现有技术中的软件开发管理方案如背景技术中介绍的存在着通用性差问题,基于此,本发明的以下实施例就是提供一种软件开发管理方法以解决上述至少之一的缺陷。
为了更清楚地介绍本申请的技术方案,以下介绍一些下述实施例可能涉及到的概念、术语或平台,以帮助理解本申请公开的软件开发管理方案:
SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。
CSRF一般指跨站请求伪造。跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
SSRF(Server-side Request Forge,服务端请求伪造),由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务。
XML外部实体注入(XML External Entity)简称XXE漏洞,XML用于标记电子文件使其具体结构性的标记语言,可以用来标记数据,定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言,XML文档结构包括XML声明,DTD文档类型定义,文档元素。
反序列化就是把字节流(二进制串)恢复为Java对象的过程,readObject反序列化的过程即为:(1)创建对象输入流,同样的,可以包含其他类型的目标输出流,例如:文件输入流。(2)通过对象输入流的readObject()方法读取对象。
URL重定向(URL redirection,或称网址重定向或网域名称转址),是指当使用者浏览某个网址时,将他导向到另一个网址的技术。URL重定向是一个需要特别关注的安全漏洞,网站接受用户输入的链接,跳转到一个攻击者控制的网站,可能导致跳转过去的用户被精心设置的钓鱼页面骗走自己的个人信息和登录口令。
图1示出了本申请实施例提供的一种软件开发管理的流程示意图,所述方法应用于软件开发管理平台,如图1所示,该方法主要可以包括:
S101、根据预先集成的SDK安全探针对从目标渠道获取的软件开发文件进行安全检测;其中,所述目标渠道包括但不限于:移动端、电脑端、小程序。
在本申请的进一步实施例中,所述集成SDK安全探针的过程包括:
步骤1、获取软件开发过程中的标准规则和自定义的个性规则;
步骤2、将所述标准规则和个性规则存储于目标程序文件中;其中所述目标程序文件为SDK安全探针。其中,所述标准/个性规则包括:安全规则和管理规则。
在可选实施例中,可以读软件开发管理平台的管理者或软件开发者开放SDK规则升级和自定义的接口,以主要针对在软件开发过程中发现的新风险可以在安全开发中引入个性化的私有安全规则进入安全SDK,实现了SDK安全规则的升级,增强了SDK安全探针的实用性和安全检测能力。
在本申请的进一步实施例中,所述安全规则包括但不限于以下至少一种:SQL防注入检测、XSS检测、文件上传检测、URL重定向检测、CSRF检测、SSRF检测、Readobject反序列检测、XXE检测;
所述管理规则包括但不限于以下至少一种:账号管理规则、报表统计规则、在线测试规则。
在本申请的进一步实施例中,对从目标渠道获取的软件开发文件进行安全检测包括:
步骤1、根据安全规则,校验所述软件开发文件是否为合法文件;
步骤2、校验通过,则对所述软件开发文件进行防攻击处理和/或安全扫描处理。如果所述软件开发文件通过防攻击处理和/或安全扫描,则进入步骤S102,即将所述软件开发文件上传至软件开发管理平台中。
S102、检测通过后,上传所述软件开发文件;
S103、根据所述SDK,在所述软件开发文件执行开发指令的进程中进行目标检测。其中,利用所述SDK安全探针进行目标检测包括:
根据所述安全规则,对处理过的软件开发文件再次进行安全检测;其中所述安全规则至少包括:SQL防注入检测、XSS检测、URL重定向检测、CSRF检测、SSRF检测、Readobject反序列检测、XXE检测、调用过滤规则,过滤/转码规则和自定义安全规则。其中自定义安全规则是指软件开发者可以在集成的SDK安全探针中将其关注或设计的个性化安全检测规则集成进去,形成标准规则+自定义规则两种管理模式,既能有效建立安全基线又能灵活支持场景特有安全需求。
检测的实现方式在软件开发过程中驱动目标程序一直调用存储有SDK安全探针的目标程序文件,使其在软件的整个开发过程中一直处于运行状态去根据SDK安全探针中存储的安全规则进行漏洞或风险监测,根据SDK安全探针中存储的管理规则去对开发人员(即本申请中的用户)的开发行为进行管理和控制。
在具体实施例中,开发进程包括安全开发、在线安全测试、安全监控。SDK安全探针在开发的各个阶段中的发挥作用的方式和有益效果为:
(1)在安全开发进程中引入安全SDK探针能够使探针中包含的检测规则在各个开发服务环节过了安全风险;
(2)安全测试进程中可以将SDK安全探针作为锚点与漏洞的扫描工具或渗透工具,逐个加强安全测试效果;
(3)在安全监控进程中SDK安全探针可以感知到安全风险,联动安全服务、安全产品监控对业务系统的攻击行为,后通过安全运营规则(例如统计报表的方式统计攻击记录后发送开发人员用于攻击安全分析)进行分析和和处置。
在本申请的进一步实施例中,在将所述软件开发文件上传之后,所述方法还包括:
步骤1、接收用户输入的软件开发管理平台登录信息;其中所述登录信息包括用户账户信息;
步骤2、向所述用户预存于软件开发管理平台的通讯介质发送安全校验码;其中所述安全校验码可以为文字校验码、数字校验码、算数校验码和图形校验码;
在具体实施例中,可以预先确定校验复杂度后根据复杂度来设计上述几种图形校验的难度,同时还可以在该单元中设计风险管控规则,将安全校验与风险管控结合。还可以进行安全校验码的分级化、分类化生成和校验并在校验过程实现风险识别处理(即针对出现的重放、试错等风险,进行防护处理,同时进行告警分析)。
步骤3、接收并校验所述用户输入的账户信息和安全校验码信息,校验通过则登录成功。
在本申请的进一步实施例中,在所述用户登录软件开发平台后,所述方法还包括:
根据所述软件开发管理平台预留的用户信息获取所述用户对所述软件开发文件的权限信息;
根据所述权限信息,控制所述用户在所述权限内对所述软件开发文件执行开发操作。
在本申请可选实施例中,如果所述软件开发文件未通过防攻击处理和/或安全扫描,所述方法还包括:
将所述校验未通过和/或SDK安全探针检测未通过的风险软件开发文件存储于文件中转服务器中;其中所述文件中转服务器可以作为软件开发管理平台的前置接口中,该接口与管理平台通过物理隔离方式进行隔离;也可以是管理平台的云服务器
对预设周期内的风险软件开发文件进行统计分析,确定所述风险软件开发文件的风险类型;
根据所述统计分析结果,生成所述风险软件开发文件的风险报告。在可选实施例中可以根据所述风险报告和预设告警机制,向用户发送风险告警信息。
本申请上述实施例提供的技术方案主要针对应用开发问题导致的业务系统漏洞,通过安全开发服务系统对外提供标准安全开发组件、服务,直接提高开发环节安全性,避免开发过程引入安全漏洞。针对安全开发环节,将SDK安全探针服务植入到各软件开发的各个进程业务服务中,提高了软件开发的环境安全和文件安全,同时能够帮助运营感知安全威胁。
基于图1所示的软件开发管理方法,另一方面本申请实施例提供了一种软件开发管理平台,如图2所示,平台可以包括:201通讯模块、202存储模块、203上传模块、204检测模块和205执行模块,其中,
所述201通讯模块,还用于从目标渠道获取的软件开发文件;
所述202存储模块,用于存储SDK安全探针;
所述204检测模块,用于根据预先集成的SDK安全探针对从目标渠道获取的软件开发文件进行安全检测;
所述203上传模块,用于在所述安全检测通过后,上传所述软件开发文件;
所述205执行模块,用于根据所述SDK,在所述软件开发文件执行开发指令的进程中进行目标检测。
在进一步的实施例中,所述通讯模块还用于获取软件开发过程中的标准规则和自定义的个性规则;其中所述标准/个性规则包括:安全规则和管理规则;所述存储模块,还用于将所述标准规则和个性规则存储于目标程序文件中;其中所述目标程序文件为SDK安全探针。进一步地的实施例中,所述存储模块还包括安全规则单元和管理规则单元,其中所述安全规则单元存储的所述安全规则包括但不限于以下至少一种:SQL防注入检测、XSS检测、文件上传检测、URL重定向检测、CSRF检测、SSRF检测、Readobject反序列检测、XXE检测。
所述管理规则单元存储的管理规则包括但不限于以下至少一种:账号管理规则、报表统计规则、在线测试规则。
在本申请实施例中,所述204检测模块具体用于根据安全规则单元存储的安全规则,校验所述软件开发文件是否为合法文件;校验通过,则所述205执行模块用于对所述软件开发文件进行防攻击处理和/或安全扫描处理。
在进一步的实施例中,如果所述软件开发文件通过防攻击处理和/或安全扫描,则所述上传模块具体用于将所述软件开发文件上传至软件开发管理平台中;如果所述软件开发文件未通过防攻击处理和/或安全扫描,则所述203上传模块用于将所述处理过的软件开发文件存储于中转服务器中。
进一步地,在本申请实施例中所述205执行模块执行的目标检测包括但不限于:
根据所述安全规则,对处理过的软件开发文件再次进行安全检测;其中所述安全规则至少包括:SQL防注入检测、XSS检测、URL重定向检测、CSRF检测、SSRF检测、Readobject反序列检测、XXE检测、自定义安全规则。
在上述实施例的基础上,在可选实施例中所述软件开发管理平台还包括206校验模块。具体的,在所述201通讯模块还用于接收用户输入的软件开发管理平台登录信息;其中所述登录信息包括用户账户信息;以及用于向所述用户预存于软件开发管理平台的通讯介质发送安全校验码;其中所述安全校验码可以为文字校验码、数字校验码、算数校验码和图形校验码;所述202存储模块用于存储用于登记在软件开发管理平台中的通讯介质的信息;所述206校验模块用于校验所述用户输入的账户信息和安全校验码信息,校验通过则登录成功。
进一步地,所述201通讯模块还用于根据所述软件开发管理平台预留的用户信息获取所述用户对所述软件开发文件的权限信息;所述205执行模块还用于根据所述权限信息,控制所述用户在所述权限内对所述软件开发文件执行开发操作。
进一步地,所述软件开发管理平台还包括207统计分析模块和208告警模块;其中,当所述203上传模块还用于将所述校验未通过和/或SDK安全探针检测未通过的风险软件开发文件存储于文件中转服务器中时,
所述207统计分析模块,用于对预设周期内的风险软件开发文件进行统计分析,确定所述风险软件开发文件的风险类型,并根据所述统计分析结果,生成所述风险软件开发文件的风险报告。
进一步地,所述208告警模块用于根据所述风险报告和预设告警机制,向用户发送风险告警信息。
可以理解的是,本实施例中的软件开发管理平台的上述各组成设备具有实现图1中所示的实施例中的方法相应步骤的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块或平台。上述模块和平台可以是软件和/或硬件,上述各模块和平台可以单独实现,也可以多个模块和平台集成实现。对于上述各模块和平台的功能描述具体可以参见图1中所示实施例中的方法的对应描述,因此,其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果,此处不再赘述。
可以理解的是,本发明实施例示意的结构并不构成对软件开发管理平台的具体结构的具体限定。在本申请另一些实施例中,软件开发管理平台可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件,软件或软件和硬件的组合实现。
本申请实施例提供了一种电子设备,包括处理器和存储器;
存储器,用于存储操作指令;
处理器,用于通过调用操作指令,执行本申请任一实施方式中所提供的软件开发管理方法。
作为一个示例,图3示出了本申请实施例所适用的一种电子设备的结构示意图,如图3所示,该电子设备300包括:处理器301和存储器303。其中,处理器301和存储器303相连,如通过总线302相连。可选的,电子设备300还可以包括收发器304。需要说明的是,实际应用中收发器304不限于一个。可以理解的是,本发明实施例示意的结构并不构成对电子设备300的具体结构的具体限定。在本申请另一些实施例中,电子设备300可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件,软件或软件和硬件的组合实。可选地,电子设备还可以包括显示屏305,用于显示图像,或需要时接收用户的操作指令。
其中,处理器301应用于本申请实施例中,用于实现上述方法实施例所示的方法。收发器304可以包括接收机和发射机,收发器304应用于本申请实施例中,用于执行时实现本申请实施例的电子设备与其他设备通信的功能。
处理器301可以是CPU(Central Processing Unit,中央处理器),通用处理器,DSP(Digital Signal Processor,数据信号处理器),ASIC(Application SpecificIntegrated Circuit,专用集成电路),FPGA(Field Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器301也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等。
处理器301也可以包括一个或多个处理单元,例如:处理器301可以包括应用处理器(application processor,AP),调制解调处理器,图形处理器(graphicsprocessingunit,GPU),图像信号处理器(image signal processor,ISP),控制器,存储器,视频编解码器,数字信号处理器(digital signal processor,DSP),基带处理器,和/或神经网络处理器(Neural-network Processing Unit,NPU)等。其中,不同的处理单元可以是独立的器件,也可以集成在一个或多个处理器中。其中,控制器可以是电子设备300的神经中枢和指挥中心。控制器可以根据指令操作码和时序信号,产生操作控制信号,完成取指令和执行指令的控制。处理器301中还可以设置存储器,用于存储指令和数据。在一些实施例中,处理器301中的存储器为高速缓冲存储器。该存储器可以保存处理器301刚用过或循环使用的指令或数据。如果处理器301需要再次使用该指令或数据,可从所述存储器中直接调用。避免了重复存取,减少了处理器301的等待时间,因而提高了平台的效率。
处理器301可以运行本申请实施例提供的软件开发管理方法,以便于降低用户的操作复杂度、提高终端设备的智能化程度,提升用户的体验。处理器301可以包括不同的器件,比如集成CPU和GPU时,CPU和GPU可以配合执行本申请实施例提供的软件开发管理方法,比如软件开发管理方法中部分算法由CPU执行,另一部分算法由GPU执行,以得到较快的处理效率。
总线302可包括一通路,在上述组件之间传送信息。总线302可以是PCI(Peripheral Component Interconnect,外设部件互连标准)总线或EISA(ExtendedIndustry Standard Architecture,扩展工业标准结构)总线等。总线302可以分为地址总线、数据总线、控制总线等。为便于表示,图3中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器303可以是ROM(Read Only Memory,只读存储器)或可存储静态信息和指令的其他类型的静态存储设备,RAM(Random Access Memory,随机存取存储器)或者可存储信息和指令的其他类型的动态存储设备,也可以是EEPROM(Electrically ErasableProgrammable Read Only Memory,电可擦可编程只读存储器)、CD-ROM(Compact DiscRead Only Memory,只读光盘),也可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件,闪存器件,通用闪存存储器(universal flashstorage,UFS),或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。
可选的,存储器303用于存储执行本申请方案的应用程序代码,并由处理器301来控制执行。处理器301用于执行存储器303中存储的应用程序代码,以实现本申请任一实施方式中所提供的软件开发管理方法。
存储器303可以用于存储计算机可执行程序代码,所述可执行程序代码包括指令。处理器301通过运行存储在存储器303的指令,从而执行电子设备300的各种功能应用以及数据处理。存储器303可以包括存储程序区和存储数据区。其中,存储程序区可存储操作平台,应用程序的代码等。存储数据区可存储电子设备300使用过程中所创建的数据(比如相机应用采集的图像、视频等)等。
存储器303还可以存储本申请实施例提供的软件开发管理方法对应的一个或多个计算机程序。该一个或多个计算机程序被存储在上述存储器303中并被配置为被该一个或多个处理器301执行,该一个或多个计算机程序包括指令,上述指令可以用于执行上述相应实施例中的各个步骤。
当然,本申请实施例提供的软件开发管理方法的代码还可以存储在外部存储器中。这种情况下,处理器301可以通过外部存储器接口运行存储在外部存储器中的软件开发管理方法的代码,处理器301可以控制运行软件开发管理流程。
显示屏305包括显示面板。显示面板可以采用液晶显示屏(liquid crystaldisplay,LCD),有机发光二极管(organic light-emittingdiode,OLED),有源矩阵有机发光二极体或主动矩阵有机发光二极体(active-matrixorganic light emitting diode的,AMOLED),柔性发光二极管(flex light-emittingdiode,FLED),Miniled,MicroLed,Micro-oLed,量子点发光二极管(quantum dot lightemitting diodes,QLED)等。在一些实施例中,电子设备300可以包括1个或N个显示屏305,N为大于1的正整数。显示屏305可用于显示由用户输入的信息或提供给用户的信息以及各种图形用户界面(graphical userinterface,GUI)。例如,显示屏305可以显示照片、视频、网页、或者文件等。
本申请实施例提供的电子设备,适用于上述方法任一实施例,因此,其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果,此处不再赘述。
本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现上述方法实施例所示的软件开发管理方法。
本申请实施例提供的计算机可读存储介质,适用于上述方法任一实施例,因此,其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果,此处不再赘述。
本申请实施例还提供了一种计算机程序产品,当该计算机程序产品在计算机上运行时,使得计算机执行上述相关步骤,以实现上述实施例中的方法。本申请实施例提供的计算机程序产品,适用于上述方法任一实施例,因此,其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果,此处不再赘述。
本申请实施例提供的软件开发管理方案根据预先集成的SDK安全探针对从目标渠道获取的软件开发文件进行安全检测;检测通过后,上传所述软件开发文件;根据所述SDK,在所述软件开发文件执行开发指令的进程中进行目标检测。本申请实施例提供的技术方案主要针对应用开发问题导致的业务系统漏洞,通过安全开发服务系统对外提供标准安全开发组件、服务,直接提高开发环节安全性,避免开发过程引入安全漏洞。针对安全开发环节,将安全SDK探针服务植入到各软件开发的各个进程业务服务中,提高了软件开发的环境安全和文件安全,同时能够帮助运营感知安全威胁。
在本申请所提供的几个实施例中,应该理解到,所揭露的平台和方法,可以通过其他的方式实现。例如,以上所描述的平台实施例仅是示意性的,例如,模块或单元的划分,仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个平台,或一些特征可以丢弃,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,平台或单元的间接耦合或通信连接,可以是电性,机械或其他的形式。
以上内容,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,还可以做出若干改进和润饰,这些变化、替换、改进和润饰也应视为都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (11)
1.一种软件开发管理方法,其特征在于,所述方法应用于软件开发管理平台,其中,所述方法包括:
根据预先集成的SDK安全探针对从目标渠道获取的软件开发文件进行安全检测;对从目标渠道获取的软件开发文件进行安全检测包括:
根据安全规则,校验所述软件开发文件是否为合法文件;
校验通过,则对所述软件开发文件进行防攻击处理和/或安全扫描处理;
如果所述软件开发文件通过防攻击处理和/或安全扫描,则将所述软件开发文件上传至软件开发管理平台中;
如果所述软件开发文件未通过防攻击处理和/或安全扫描,则将所述处理过的软件开发文件存储于中转服务器中;
检测通过后,上传所述软件开发文件;
在所述软件开发文件执行开发指令的进程中,利用所述SDK安全探针进行目标检测;所述利用所述SDK安全探针进行目标检测包括:
根据所述安全规则,对处理过的软件开发文件再次进行安全检测;其中所述安全规则至少包括:SQL防注入检测、XSS检测、URL重定向检测、CSRF检测、SSRF检测、Readobject反序列检测、XXE检测、自定义安全规则。
2.根据权利要求1所述的软件开发管理方法,其特征在于,所述集成SDK安全探针包括:
获取软件开发过程中的标准规则和自定义的个性规则;
将所述标准规则和个性规则存储于目标程序文件中;其中所述目标程序文件为SDK安全探针。
3.根据权利要求2所述的软件开发管理方法,其特征在于,所述标准/个性规则包括:安全规则和管理规则;
所述管理规则包括但不限于以下至少一种:
账号管理规则、报表统计规则、在线测试规则。
4.根据权利要求1所述的软件开发管理方法,其特征在于,在将所述软件开发文件上传之后,所述方法还包括:
接收用户输入的软件开发管理平台登录信息;其中所述登录信息包括用户账户信息;
向所述用户预存于软件开发管理平台的通讯介质发送安全校验码;其中所述安全校验码可以为文字校验码、数字校验码、算数校验码或图形校验码;
接收并校验所述用户输入的账户信息和安全校验码信息,校验通过则登录成功。
5.根据权利要求4所述的软件开发管理方法,其特征在于,在所述用户登录软件开发平台后,所述方法还包括:
根据所述软件开发管理平台预留的用户信息获取所述用户对所述软件开发文件的权限信息;
根据所述权限信息,控制所述用户在所述权限内对所述软件开发文件执行开发操作。
6.根据权利要求1所述的软件开发管理方法,其特征在于,所述方法还包括:
将校验未通过和/或SDK安全探针检测未通过的风险软件开发文件存储于文件中转服务器中;
对预设周期内的风险软件开发文件进行统计分析,确定所述风险软件开发文件的风险类型;
根据所述统计分析结果,生成所述风险软件开发文件的风险报告。
7.根据权利要求6所述的软件开发管理方法,其特征在于,所述方法还包括:
根据所述风险报告和预设告警机制,向用户发送风险告警信息。
8.一种软件开发管理平台,其特征在于,所述平台包括:通讯模块、存储模块、上传模块、检测模块和执行模块,其中,
所述通讯模块,还用于从目标渠道获取的软件开发文件;
所述存储模块,用于存储SDK安全探针;
所述检测模块,用于根据预先集成的SDK安全探针对从目标渠道获取的软件开发文件进行安全检测;
所述上传模块,用于在所述安全检测通过后,上传所述软件开发文件;
所述执行模块,用于根据所述SDK安全探针,在所述软件开发文件执行开发指令的进程中进行目标检测;利用所述SDK安全探针进行目标检测包括:根据安全规则,对处理过的软件开发文件再次进行安全检测;其中所述安全规则至少包括:SQL防注入检测、XSS检测、URL重定向检测、CSRF检测、SSRF检测、Readobject反序列检测、XXE检测、自定义安全规则;所述执行模块还用于对软件开发文件进行防攻击处理和/或安全扫描检测,检测通过,则所述上传模块还用于将所述软件开发文件上传至软件开发管理平台中;
检测不通过,则所述上传模块则用于将所述处理过的软件开发文件存储于中转服务器中。
9.根据权利要求8所述的软件开发管理平台,其特征在于,所述通讯模块还用于获取软件开发过程中的标准规则和自定义的个性规则;其中所述标准/个性规则包括:安全规则和管理规则;
所述存储模块,还用于将所述标准规则和个性规则存储于目标程序文件中;其中所述目标程序文件为SDK安全探针。
10.一种电子设备,其特征在于,包括处理器和存储器;
所述存储器,用于存储操作指令;
所述处理器,用于通过调用所述操作指令,执行权利要求1-7中任一项所述的方法。
11.一种计算机可读存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110174116.7A CN112906006B (zh) | 2021-02-09 | 2021-02-09 | 一种软件开发管理方法和平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110174116.7A CN112906006B (zh) | 2021-02-09 | 2021-02-09 | 一种软件开发管理方法和平台 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112906006A CN112906006A (zh) | 2021-06-04 |
| CN112906006B true CN112906006B (zh) | 2023-06-09 |
Family
ID=76124267
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110174116.7A Active CN112906006B (zh) | 2021-02-09 | 2021-02-09 | 一种软件开发管理方法和平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112906006B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113613254B (zh) * | 2021-07-30 | 2023-10-27 | 国网湖南省电力有限公司 | 针对企业级移动应用的安全监测溯源管控方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015005936A1 (en) * | 2013-07-12 | 2015-01-15 | Hewlett-Packard Development Company, L.P. | Analyzing target software for security vulnerabilities |
| CN110175067A (zh) * | 2019-03-05 | 2019-08-27 | 广东电网有限责任公司信息中心 | 一种移动应用立体防御方法和系统 |
| CN110290129A (zh) * | 2019-06-20 | 2019-09-27 | 深圳前海微众银行股份有限公司 | 一种Web漏洞检测的方法及装置 |
| CN110348226A (zh) * | 2019-07-12 | 2019-10-18 | 北京字节跳动网络技术有限公司 | 一种工程文件的扫描方法、装置、电子设备及存储介质 |
-
2021
- 2021-02-09 CN CN202110174116.7A patent/CN112906006B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015005936A1 (en) * | 2013-07-12 | 2015-01-15 | Hewlett-Packard Development Company, L.P. | Analyzing target software for security vulnerabilities |
| CN110175067A (zh) * | 2019-03-05 | 2019-08-27 | 广东电网有限责任公司信息中心 | 一种移动应用立体防御方法和系统 |
| CN110290129A (zh) * | 2019-06-20 | 2019-09-27 | 深圳前海微众银行股份有限公司 | 一种Web漏洞检测的方法及装置 |
| CN110348226A (zh) * | 2019-07-12 | 2019-10-18 | 北京字节跳动网络技术有限公司 | 一种工程文件的扫描方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112906006A (zh) | 2021-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11880422B2 (en) | Theft prevention for sensitive information | |
| Gupta et al. | Cross-Site Scripting (XSS) attacks and defense mechanisms: classification and state-of-the-art | |
| Rodríguez et al. | Cross-site scripting (XSS) attacks and mitigation: A survey | |
| US11314862B2 (en) | Method for detecting malicious scripts through modeling of script structure | |
| Sarmah et al. | A survey of detection methods for XSS attacks | |
| Georgiev et al. | Breaking and fixing origin-based access control in hybrid web/mobile application frameworks | |
| EP2179532B1 (en) | System and method for authentication, data transfer, and protection against phishing | |
| Shema | Hacking web apps: detecting and preventing web application security problems | |
| US20070169065A1 (en) | Computer program with metadata management function | |
| KR20140016380A (ko) | 샌드박스에 참조들을 유지하는 시스템 및 방법 | |
| CN113645234B (zh) | 基于蜜罐的网络防御方法、系统、介质及装置 | |
| WO2021154724A1 (en) | Metadata-based detection and prevention of phishing attacks | |
| Bastys et al. | Tracking Information Flow via Delayed Output: Addressing Privacy in IoT and Emailing Apps | |
| US10789360B2 (en) | Protection against third party JavaScript vulnerabilities | |
| CN112906006B (zh) | 一种软件开发管理方法和平台 | |
| McDonald | Web security for developers: real threats, practical defense | |
| Gupta et al. | Evaluation and monitoring of XSS defensive solutions: a survey, open research issues and future directions | |
| Snyder et al. | Pro PHP security | |
| Calzavara et al. | Micro-policies for web session security | |
| CN116074130B (zh) | 系统防护方法、装置、设备和介质 | |
| US20210133330A1 (en) | Determining a security score in binary software code | |
| Sharif | Web Attacks Analysis and Mitigation Techniques | |
| Betelin et al. | Neural Network: Predator, Victim, and Information Security Tool | |
| Elkhodr et al. | Prevention of cross-site scripting attacks in web applications | |
| CN116170243B (zh) | 基于poc生成规则文件的方法、装置、电子设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |