CN114116507A - 一种基于Devops内生安全的源代码检测系统及方法 - Google Patents

一种基于Devops内生安全的源代码检测系统及方法 Download PDF

Info

Publication number
CN114116507A
CN114116507A CN202111460684.XA CN202111460684A CN114116507A CN 114116507 A CN114116507 A CN 114116507A CN 202111460684 A CN202111460684 A CN 202111460684A CN 114116507 A CN114116507 A CN 114116507A
Authority
CN
China
Prior art keywords
source code
data
detected
detection
tested
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111460684.XA
Other languages
English (en)
Other versions
CN114116507B (zh
Inventor
刘恒旺
李永刚
佟雪松
张晓曼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anhui Jiyuan Examination And Detection Technology Co ltd
State Grid Siji Location Service Co ltd
Original Assignee
Anhui Jiyuan Examination And Detection Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anhui Jiyuan Examination And Detection Technology Co ltd filed Critical Anhui Jiyuan Examination And Detection Technology Co ltd
Priority to CN202111460684.XA priority Critical patent/CN114116507B/zh
Publication of CN114116507A publication Critical patent/CN114116507A/zh
Application granted granted Critical
Publication of CN114116507B publication Critical patent/CN114116507B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3668Software testing
    • G06F11/3672Test management
    • G06F11/3688Test management for test execution, e.g. scheduling of test suites
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3668Software testing
    • G06F11/3672Test management
    • G06F11/3692Test management for test results analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种基于Devops内生安全的源代码检测系统及方法,其中,一种基于Devops内生安全的源代码检测系统,包括:接口单元、WebService服务器、驱动引擎、自动化测试系统(QTP)以及电力平台数据库。本发明通过对基于Devops的待检测源代码的非正常更新和/或非正常运行进行采集、分析、记录及报警,在待检测源代码发生非正常更新和/或后,可通过电子数据平台实时监控记录和报警,实现基于Devops源代码的内生安全管理。

Description

一种基于Devops内生安全的源代码检测系统及方法
技术领域
本发明涉及Devops内生安全的技术领域,具体涉及一种基于Devops内生安全的源代码检测系统及方法。
背景技术
DevOps追求在保证质量的前提下尽可能地减少将产品新特性交付到市场的时间,而软件开发和测试过程中科学的风险预测会助力实现这一目标。需求变更预测方面,国际上,McGee研究了贝叶斯网络在项目生命周期早期预测波动水平的有效性。通过一系列的行业实证研究,探讨了需求变更的原因和后果,根据变更源对变更进行分类,基于变更源构建预测需求波动水平的贝叶斯网络模型,来实现需求变更的风险预测。
为更好的确认基于Devops的待检测源代码的非正常更新和/或非正常运行,亟待需要设计一种基于Devops内生安全的源代码检测系统及方法。
发明内容
针对上述现有技术存在的问题,本发明提供了一种基于Devops内生安全的源代码检测系统及方法。通过对基于Devops的待检测源代码的非正常更新和/或非正常运行进行采集、分析、记录及报警,在待检测源代码发生非正常更新和/或后,可通过电子数据平台实时监控记录和报警,实现基于Devops源代码的内生安全管理。
为了实现上述目的,本发明采用的一种基于Devops内生安全的源代码检测系统,包括:
接口单元:对待检测的源代码进行识别,并将待测源代码信息上报到WebService服务器;
WebService服务器,对接口单元进行管理,且对接口单元进行激活,并将上报到WebService服务器的待测源代码信息同步到自动化测试系统和电力平台数据库;
驱动引擎,通过WebService服务器获取电力平台数据库中需要被驱动的数据,交付数据给自动化测试系统进行作业驱动,同时监控自动化测试系统的运行状态,并将数据通过Webservice服务器提交至电力平台数据库;
自动化测试系统(QTP),对接入的电力数据和待测源代码结合在自动化测试系统内运行的非正常更新和/或非正常运行进行记录并报警;
电力平台数据库,用于对电力数据进行管理。
作为上述方案的进一步优化,还包括源代码软件变更信息系统,用于将待测源代码的软件变更信息同步到所述WebService服务器。
作为上述方案的进一步优化,上报到WebService服务器的源代码数据包括:源代码的编译语言、源代码的编译器版本。
作为上述方案的进一步优化,所述源代码软件变更信息包括源代码的版本信息、源代码的安全等级和源代码的下载信息。
作为上述方案的进一步优化,所述自动化测试系统包括:
编译单元,根据待测源代码的编译语言和编译器版本对待测源代码进行编译,获取编译信息;
第一检测单元,根据至少一个检测规则对编译信息进行静态分析检测,以确定静态检测结果;
第二检测单元,根据至少一个训练规则,通过驱动引擎调用电力平台数据库的电力数据,对编译信息进行动态分析检测,以确定动态分析结果;
报警单元,对接入的电力数据,待测源代码在自动化测试系统内运行接入的电力数据库的非正常更新和/或非正常运行进行记录并报警。
作为上述方案的进一步优化,所述WebService服务器包括:
数据获取单元,用于获取待测源代码数据及更新、变更情况;
数据清洗单元:将获取的待测源代码数据进行数据清洗处理
数据清洗处理包括缺失值处理,对于部分待测源代码中缺少信息或者因操作失误等原因造成的聚类或缺失,通常采用删除缺失值或填充缺失值的方式进行缺失值处理,以确保数据的完整性。
特征标准化单元,对待测源代码中的字符型变量进行标准化处理;
样本均衡单元,对待测源代码存在不均衡问题,采用过采样或欠采样的方法进行均衡处理;
随机欠采样是从多数类Smaj中随机选择一些样本组成样本集E。然后将样本集E从Smaj中移除。新的数据集Snew-maj=Smaj-E。
参数计算单元,对待测源代码基于匹配模型需求推算参数处理。
一种基于Devops内生安全的源代码检测系统的检测方法,包括如下步骤:
WebService服务器对接口单元进行激活;
其中,在接口单元接收到待测源代码后,接口单元将待测源代码上报到WebService服务器,以使得WebService服务器将上报的待测源代码与WebService服务器上已存在的源代码进行对比,若一致,则将该待测源代码激活,使接口单元处于激活状态。
利用接口单元对待测源代码进行识别;
通过接口单元识别的待测原代码,上报到WebService服务器,并同步上报给电力平台数据库;
通过源代码软件变更信息系统将待测源代码的软件变更信息同步到WebService服务器;
其中,源代码软件变更信息是指根据待测源代码的编译语言和编译器版本对待测源代码进行编译,并获取编译信息;
具体的,编译语言包括:C/C++编译语言、Java/JSP编译语言、C#编译语言、Python编译语言以及PHP编译语言;
编译器版本包括:C/C++编译器、Java/JSP编译器、C#编译器、Python编译器以及PHP编译器;
编译信息为使用C/C++编译器进行编译并获得的编译信息、使用Java/JSP编译器进行编译并获得的编译信息、使用C#编译器进行编译并获得的编译信息、使用Python编译器进行编译并获得的编译语言以及使用PHP编译器进行编译并获得的编译语言。
通过驱动引擎将WebService服务器获取的电力平台数据库中需要被驱动的数据,交付给自动化测试系统进行作业驱动,同时监控自动化测试系统的运行状态,并将数据通过Webservice服务器提交至电力平台数据库;
通过自动化测试系统(QTP)对接入的电力数据和待测源代码在自动化测试系统内运行的非正常更新和/或非正常运行进行记录并报警,并上报给电力平台数据库。
一种基于Devops内生安全的源代码检测方法,包括以下步骤:
对待识别的待检测源代码进行识别,确定待检测源代码的编程语言和编译器版本;
WebService服务器端对待检源测代码进行数据处理后,形成标准化中间表示;
基于标准化中间表示后的待检测源代码,从静态规则库中匹配测试规则序列,进行自动一体化检测,形成静态测试结果;
通过静态测试的待检测源代码,自动调用动态规则库中匹配测试规则序列,且匹配电力平台数据库的数据进行动态数据检测,并形成动态测试结果。
一种基于Devops内生安全的源代码检测方法,包括以下步骤:
进入自动化测试系统的待检测源代码,进行的待检测源代码的检测步骤,
自动调用动态规则库中匹配测试规则序列,且匹配电力平台数据库的数据进行动态数据检测;
若检测到该待检测源代码非正常更新,则识别该待检测源代码,并进行记录并报警,且匹配电力平台数据库的数据进行动态数据检测;
若检测到的待检测源代码正常更新,则自动调用动态规则库中匹配测试规则序列匹配该待检测源代码,且匹配电力平台数据库的数据进行动态数据检测;
若通过动态数据检测的源代码非正常运行,则识别该通过动态数据检测的源代码,并进行记录并报警;
若通过动态数据检测的源代码正常运行,则输出测试报告并存储到电力平台数据库中。
一种存储介质,所述存储介质上存储有基于Devops内生安全的源代码检测程序,所述基于Devops内生安全的源代码检测程序被处理器执行时实现如权利要求8所述的基于基于Devops内生安全的源代码检测方法的步骤。
本发明的一种基于Devops内生安全的源代码检测系统及方法,具备如下有益效果:
1)本发明的一种基于Devops内生安全的源代码检测系统及方法,对基于Devops的待检测源代码的非正常更新和/或非正常运行进行采集、分析、记录及报警,在待检测源代码发生非正常更新和/或后,可通过电子数据平台实时监控记录和报警,实现基于Devops源代码的内生安全管理。
2)本发明的一种基于Devops内生安全的源代码检测方法,通过对进入自动化检测系统的待检测源代码进行静态数据检测,以确认该进入自动化检测系统的待检测源代码是否发生非正常更新,若发生非正常更新,则对该待检测源代码进行报警并将该待检测源代码记录到电子数据平台,也就是可能存在的情况是该待检测源代码发生了变动,存在非正常更新的情况,记录其更新方式以及更新时间,自动化检测系统将当前源代码的信息上报到电子数据平台,若未发生非正常更新,则将当前源代码进行动态数据检测,以确认经过动态数据检测的源代码是否发生非正常运行,若发生非正常运行,则对该经过动态数据检测的源代码进行报警并将该经过动态数据检测的源代码记录到电子数据平台,也就是可能存在的情况是该经过动态数据检测的源代码发生了变动,存在非正常运行的情况,记录其运行方式以及运行时间,自动化检测系统将当前的源代码记录到电子数据平台,若未发生非正常运行,则将该经过动态数据检测安全标记并与电子数据平台原缓存信息比对,有更新后,将电子数据平台缓存的信息作为历史信息进行记录。以便于快速确认进入自动化检测系统中的待检测系统是否发生过非正常更新和/非正常运行。
附图说明
图1为本发明一种基于Devops内生安全的源代码检测系统的流程框图;
图2为本发明中一种基于Devops内生安全的源代码检测方法的流程示意图;
图3为本发明中一种基于Devops内生安全的源代码检测方法的流程示意图;
图4为本发明中自动化测试系统的具体实施例的流程框图;
图5为本发明中一种基于Devops内生安全的源代码检测系统的具体实施例的流程示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,所描述的实施例不应视为对本发明的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参考图1,一种基于Devops内生安全的源代码检测系统,包括:
接口单元:对待检测的源代码进行识别,并将待测源代码信息上报到WebService服务器;
WebService服务器,对接口单元进行管理,且对接口单元进行激活,并将上报到WebService服务器的待测源代码信息同步到自动化测试系统和电力平台数据库;
源代码软件变更信息系统,用于将待测源代码的软件变更信息同步到所述WebService服务器。
驱动引擎,通过WebService服务器获取电力平台数据库中需要被驱动的数据,交付数据给自动化测试系统进行作业驱动,同时监控自动化测试系统的运行状态,并将数据通过Webservice服务器提交至电力平台数据库;
自动化测试系统(QTP),对接入的电力数据和待测源代码结合在自动化测试系统内运行的非正常更新和/或非正常运行进行记录并报警;
电力平台数据库,用于对电力数据进行管理。
作为上述方案的补充方案,上报到WebService服务器的源代码数据包括:源代码的编译语言、源代码的编译器版本。所述源代码软件变更信息包括源代码的版本信息、源代码的安全等级和源代码的下载信息。
进一步的,该一种基于Devops内生安全的源代码检测系统的具体实施例如图5所示:
具体的,所述一种基于Devops内生安全的源代码检测系统包括以下工作步骤:WebService服务器数据处理、数据清洗、特征标准化、样本均衡、参数计算、静态分析及动态训练以及缺陷处理,分属于数据处理、数据自动化检测以及缺陷处理这三大功能。
具体的,数据处理:数据处理所需的源代码信息主要包括项目经理交付的所需测试的源代码信息及特征和后续进行测试的源代码信息及特征,其中,项目经理交付的所需测试的源代码信息及特征包括历史的需测试的源代码信息及特征,和这些源代码信息及特征中哪些变更了哪些没有变更,其数据主要来源于电子数据库的历史数据,后续进行预测的需测试的源代码信息从项目经理处获得新的需测试的源代码信息;
获取数据后需要进行数据清洗,数据清洗是指对于部分待测源代码中缺少信息或者因操作失误等原因造成的聚类或缺失,通常采用删除缺失值或填充缺失值的方式进行缺失值处理,以确保数据的完整性。
考虑到待测源代码中含有字符型变量的问题以及含有不均衡的现象的问题,需要对待测源代码进行特征标准化以及样本均衡,并对待测源代码基于匹配模型需求进行推算参数处理。
静态分析及动态训练:将历史数据合理分成训练集和测试集,然后选择适当的分类器进行静态分析以及动态训练,得到结果评估该历史数据是否存在缺陷,即是否发生过非正常更新和/或非正常运行,并进行保存。
缺陷处理:
若经过静态分析及动态训练后的历史数据存在缺陷,即该历史数据发生过非正常更新和/或非正常运行,将该源代码信息发送给开发者,由开发者处理该源代码信息中存在的缺陷,直至满足要求;
若经过静态分析及动态训练后的历史数据不存在缺陷,则将该源代码信息进行安全标记并发送给项目经理。
进一步的,所述自动化测试系统包括:
编译单元,根据待测源代码的编译语言和编译器版本对待测源代码进行编译,获取编译信息;
第一检测单元,根据至少一个检测规则对编译信息进行静态分析检测,以确定静态检测结果;
第二检测单元,根据至少一个训练规则,通过驱动引擎调用电力平台数据库的电力数据,对编译信息进行动态分析检测,以确定动态分析结果;
报警单元,对接入的电力数据,待测源代码在自动化测试系统内运行接入的电力数据库的非正常更新和/或非正常运行进行记录并报警。
优选的,如图4所示,自动化测试系统的具体实施例如下所示:
大体可分为四个阶段:
编译阶段:在实际测试过程中,编译阶段主要包含接受待测源代码、确认待测源代码编译语言、待测源代码编译器版本以及编译待测源代码等过程,首先确认待测源代码的编译语言,然后确认待测源代码的编译器版本,并将待检测的源代码进行编译并获取一组更具体和精确的编译信息;
静态检测阶段:自动化测试系统在获取更为具体和精确的编译信息后,为静态测试做准备,测试过程中分为两个阶段,包括数据对比阶段以及后续的记录阶段,通常将获取的更具体和精准的编译信息与电子平台数据库中现有的电子数据进行对比,并大约对比2~3次,以确认该编译信息对应的源代码是否发生非正常更新,并将该检测后的源代码同步到电子数据平台;
动态检测阶段:自动化测试系统在获取经过静态检测阶段确认为未发生非正常更新的源代码对应的编译信息后,为动态测试做准备,测试过程分为两个阶段,包括数据训练阶段以及后续的记录阶段,通常将经过静态检测阶段确认为未发生非正常更新的源代码对应的编译信息进行动态训练,以确认该经过静态检测阶段确认为未发生非正常更新的源代码是否发生非正常运行,并将该检测后的源代码同步到电子数据平台;
报警阶段:在静态检测阶段或动态检测阶段中,自动化测试系统将检测到非正常更新或非正常运行的源代码进行报警,通常报警阶段包括几个活动,首先,汇总非正常更新或非正常运行的源代码,然后上报到电子数据平台,由电子数据平台定位问题并进行报警。
作为上述方案的进一步优化,所述WebService服务器包括:
数据获取单元,用于获取待测源代码数据及更新、变更情况;
数据清洗单元:将获取的待测源代码数据进行数据清洗处理
数据清洗处理包括缺失值处理,对于部分待测源代码中缺少信息或者因操作失误等原因造成的聚类或缺失,通常采用删除缺失值或填充缺失值的方式进行缺失值处理,以确保数据的完整性。
特征标准化单元,对待测源代码中的字符型变量进行标准化处理;
样本均衡单元,对待测源代码存在不均衡问题,采用过采样或欠采样的方法进行均衡处理;
随机欠采样是从多数类Smaj中随机选择一些样本组成样本集E。然后将样本集E从Smaj中移除。新的数据集Snew-maj=Smaj-E。
参数计算单元,对待测源代码基于匹配模型需求推算参数处理。
一种基于Devops内生安全的源代码检测系统的检测方法,包括如下步骤:
WebService服务器对接口单元进行激活;
具体的,在接口单元接收到待测源代码后,接口单元将待测源代码上报到WebService服务器,以使得WebService服务器将上报的待测源代码与WebService服务器上已存在的源代码进行对比,若一致,则将该待测源代码激活,使接口单元处于激活状态。
利用接口单元对待测源代码进行识别;
其中,接口单元识别的待测源代码信息包括源代码的版本信息、源代码的安全等级和源代码的下载信息。具体的,源代码的版本信息是指源代码的版本号,可作为源代码的身份证;源代码的安全等级是指源代码经过安全风险检测后确认的安全等级,若未通过安全风险检测,则显示提示信息为该源代码具有安全风险,若通过安全风险检测,则不显示提示信息。源代码的下载信息是指在该源代码未通过安全风险检测情况下,下载过该源代码的用户信息。
通过接口单元识别的待测原代码,上报到WebService服务器,并同步上报给电力平台数据库;
通过源代码软件变更信息系统将待测源代码的软件变更信息同步到WebService服务器;
其中,源代码软件变更信息是指根据待测源代码的编译语言和编译器版本对待测源代码进行编译,并获取编译信息;
具体的,编译语言包括:C/C++编译语言、Java/JSP编译语言、C#编译语言、Python编译语言以及PHP编译语言;
编译器版本包括:C/C++编译器、Java/JSP编译器、C#编译器、Python编译器以及PHP编译器;
编译信息为使用C/C++编译器进行编译并获得的编译信息、使用Java/JSP编译器进行编译并获得的编译信息、使用C#编译器进行编译并获得的编译信息、使用Python编译器进行编译并获得的编译语言以及使用PHP编译器进行编译并获得的编译语言。
通过驱动引擎将WebService服务器获取的电力平台数据库中需要被驱动的数据,交付给自动化测试系统进行作业驱动,同时监控自动化测试系统的运行状态,并将数据通过Webservice服务器提交至电力平台数据库;
其中,该驱动引擎采用轮询的方式去请求电力平台数据库,如果发现有新的源代码被分派到自动化测试系统,则驱动引擎准备从WebService服务器获取的电力平台数据库中需要被驱动的数据,并交付给自动化测试系统作业驱动并监控自动化测试系统的测试状态。若该驱动引擎未发现自动化测试系统接收到新的源代码,则驱动因此自身置于休眠状态,等待下个请求的到来;
通过自动化测试系统(QTP)对接入的电力数据和待测源代码在自动化测试系统内运行的非正常更新和/或非正常运行进行记录并报警,并上报给电力平台数据库。
实际工作过程中,若接口单元接收的待测源代码发生更新及报警时,自动化测试系统基于待检测源代码于电子数据平台库中历史版本信息,判断该待测源代码是否发生了变动,并进行记录,记录其更新方式及更新时间,若发生非正常更新和/或发生非正常运行,则将当前待检测源代码上报到电子平台数据库并报警。
本发明的一种基于Devops内生安全的源代码检测系统及方法,对基于Devops的待检测源代码的非正常更新和/或非正常运行进行采集、分析、记录及报警,在待检测源代码发生非正常更新和/或后,可通过电子数据平台实时监控记录和报警,实现基于Devops源代码的内生安全管理。
请参考图3,一种基于Devops内生安全的源代码检测方法,包括以下步骤:
对待识别的待检测源代码进行识别,确定待检测源代码的编程语言和编译器版本;
WebService服务器端对待检源测代码进行数据处理后,形成标准化中间表示;
基于标准化中间表示后的待检测源代码,从静态规则库中匹配测试规则序列,进行自动一体化检测,形成静态测试结果;
通过静态测试的待检测源代码,自动调用动态规则库中匹配测试规则序列,且匹配电力平台数据库的数据进行动态数据检测,并形成动态测试结果。
一种基于Devops内生安全的源代码检测方法,请参考图2,包括以下步骤:
进入自动化测试系统的待检测源代码,进行的待检测源代码的检测步骤,
自动调用动态规则库中匹配测试规则序列,且匹配电力平台数据库的数据进行动态数据检测;
若检测到该待检测源代码非正常更新,则识别该待检测源代码,并进行记录并报警;
若检测到的待检测源代码正常更新,则自动调用动态规则库中匹配测试规则序列匹配该待检测源代码,且匹配电力平台数据库的数据进行动态数据检测;
若通过动态数据检测的源代码非正常运行,则识别该通过动态数据检测的源代码,并进行记录并报警,且匹配电力平台数据库的数据进行动态数据检测;
若通过动态数据检测的源代码正常运行,则输出测试报告并存储到电力平台数据库中。
一种存储介质,所述存储介质上存储有基于Devops内生安全的源代码检测程序,所述基于Devops内生安全的源代码检测程序被处理器执行时实现如权利要求8所述的基于基于Devops内生安全的源代码检测方法的步骤。
本发明不局限于上述具体的实施方式,本领域的普通技术人员从上述构思出发不经过创造性的劳动,所做出的种种变换,均落在本发明的保护范围之内。

Claims (10)

1.一种基于Devops内生安全的源代码检测系统,其特征在于:包括:
接口单元:对待检测的源代码进行识别,并将待测源代码信息上报到WebService服务器;
WebService服务器,对接口单元进行管理,且对接口单元进行激活,并将上报到WebService服务器的待测源代码信息同步到自动化测试系统和电力平台数据库;
驱动引擎,通过WebService服务器获取电力平台数据库中需要被驱动的数据,交付数据给自动化测试系统进行作业驱动,同时监控自动化测试系统的运行状态,并将数据通过Webservice服务器提交至电力平台数据库;
自动化测试系统(QTP),对接入的电力数据和待测源代码结合在自动化测试系统内运行的非正常更新和/或非正常运行进行记录并报警;
电力平台数据库,用于对电力数据进行管理。
2.根据权利要求1所述的一种基于Devops内生安全的源代码检测系统,其特征在于:还包括源代码软件变更信息系统,用于将待测源代码的软件变更信息同步到所述WebService服务器。
3.根据权利要求1或2所述的一种基于Devops内生安全的源代码检测系统,其特征在于:上报到WebService服务器的源代码数据包括:源代码的编译语言、源代码的编译器版本。
4.根据权利要求2所述的一种基于Devops内生安全的源代码检测系统,其特征在于:所述源代码软件变更信息包括源代码的版本信息、源代码的安全等级和源代码的下载信息。
5.根据权利要求1或2所述的一种基于Devops内生安全的源代码检测系统,其特征在于,所述自动化测试系统包括:
编译单元,根据待测源代码的编译语言和编译器版本对待测源代码进行编译,获取编译信息;
第一检测单元,根据至少一个检测规则对编译信息进行静态分析检测,以确定静态检测结果;
第二检测单元,根据至少一个训练规则,通过驱动引擎调用电力平台数据库的电力数据,对编译信息进行动态分析检测,以确定动态分析结果;
报警单元,对接入的电力数据,待测源代码在自动化测试系统内运行接入的电力数据库的非正常更新和/或非正常运行进行记录并报警。
6.根据权利要求1或2所述的一种基于Devops内生安全的源代码检测系统,其特征在于,所述WebService服务器包括:
数据获取单元,用于获取待测源代码数据及更新、变更情况;
数据清洗单元:将获取的待测源代码数据进行数据清洗处理
特征标准化单元,对待测源代码中的字符型变量进行标准化处理;
样本均衡单元,对待测源代码存在不均衡问题,采用过采样或欠采样的方法进行均衡处理;
参数计算单元,对待测源代码基于匹配模型需求推算参数处理。
7.一种采用权利要求1或2所述的一种基于Devops内生安全的源代码检测系统的检测方法,其特征在于,包括如下步骤:
WebService服务器对接口单元进行激活;
利用接口单元对待测源代码进行识别;
通过接口单元识别的待测源代码,上报到WebService服务器,并同步上报给电力平台数据库;
通过源代码软件变更信息系统将待测源代码的软件变更信息同步到WebService服务器;
通过驱动引擎将WebService服务器获取的电力平台数据库中需要被驱动的数据,交付给自动化测试系统进行作业驱动,同时监控自动化测试系统的运行状态,并将数据通过Webservice服务器提交至电力平台数据库;
通过自动化测试系统(QTP)对接入的电力数据和待测源代码在自动化测试系统内运行的非正常更新和/或非正常运行进行记录并报警,并上报给电力平台数据库。
8.根据要求7所述的一种基于Devops内生安全的源代码检测方法,其特征在于,包括以下步骤:
对待识别的待检测源代码进行识别,确定待检测源代码的编程语言和编译器版本;
WebService服务器端对待检源测代码进行数据处理后,形成标准化中间表示;
基于标准化中间表示后的待检测源代码,从静态规则库中匹配测试规则序列,进行自动一体化检测,形成静态测试结果;
通过静态测试的待检测源代码,自动调用动态规则库中匹配测试规则序列,且匹配电力平台数据库的数据进行动态数据检测,并形成动态测试结果。
9.根据要求8所述的一种基于Devops内生安全的源代码检测方法,其特征在于,包括以下步骤:
进入自动化测试系统的待检测源代码,进行的待检测源代码的检测步骤,
自动调用动态规则库中匹配测试规则序列,且匹配电力平台数据库的数据进行静态数据检测;
若检测到该待检测源代码非正常更新,则识别该待检测源代码,并进行记录并报警,且匹配电力平台数据库的数据进行动态数据检测;
若检测到的待检测源代码正常更新,则自动调用动态规则库中匹配测试规则序列匹配该待检测源代码,且匹配电力平台数据库的数据进行动态数据检测;
若通过动态数据检测的源代码非正常运行,则识别该通过动态数据检测的源代码,并进行记录并报警;
若通过动态数据检测的源代码正常运行,则输出测试报告并存储到电力平台数据库中。
10.一种存储介质,其特征在于,所述存储介质上存储有基于Devops内生安全的源代码检测程序,所述基于Devops内生安全的源代码检测程序被处理器执行时实现如权利要求8所述的基于基于Devops内生安全的源代码检测方法的步骤。
CN202111460684.XA 2021-12-02 2021-12-02 一种基于Devops内生安全的源代码检测系统及方法 Active CN114116507B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111460684.XA CN114116507B (zh) 2021-12-02 2021-12-02 一种基于Devops内生安全的源代码检测系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111460684.XA CN114116507B (zh) 2021-12-02 2021-12-02 一种基于Devops内生安全的源代码检测系统及方法

Publications (2)

Publication Number Publication Date
CN114116507A true CN114116507A (zh) 2022-03-01
CN114116507B CN114116507B (zh) 2022-09-23

Family

ID=80366398

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111460684.XA Active CN114116507B (zh) 2021-12-02 2021-12-02 一种基于Devops内生安全的源代码检测系统及方法

Country Status (1)

Country Link
CN (1) CN114116507B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105760299A (zh) * 2016-02-18 2016-07-13 云南电网有限责任公司电力科学研究院 一种基于智能变电站全自动脚本测试方法
CN106354632A (zh) * 2016-08-24 2017-01-25 北京奇虎测腾科技有限公司 一种基于静态分析技术的源代码检测系统及方法
US20190042399A1 (en) * 2017-08-03 2019-02-07 Fujitsu Limited Test run control method and apparatus
CN109446107A (zh) * 2019-01-23 2019-03-08 长沙软工信息科技有限公司 一种源代码检测方法及装置、电子设备
CN109522215A (zh) * 2018-10-12 2019-03-26 中国铁道科学研究院集团有限公司通信信号研究所 铁路信号系统安全苛求软件的自动化测试平台

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105760299A (zh) * 2016-02-18 2016-07-13 云南电网有限责任公司电力科学研究院 一种基于智能变电站全自动脚本测试方法
CN106354632A (zh) * 2016-08-24 2017-01-25 北京奇虎测腾科技有限公司 一种基于静态分析技术的源代码检测系统及方法
US20190042399A1 (en) * 2017-08-03 2019-02-07 Fujitsu Limited Test run control method and apparatus
CN109522215A (zh) * 2018-10-12 2019-03-26 中国铁道科学研究院集团有限公司通信信号研究所 铁路信号系统安全苛求软件的自动化测试平台
CN109446107A (zh) * 2019-01-23 2019-03-08 长沙软工信息科技有限公司 一种源代码检测方法及装置、电子设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王亚洲 等: "基于深度学习的安卓恶意应用检测", 《计算机工程与设计》 *

Also Published As

Publication number Publication date
CN114116507B (zh) 2022-09-23

Similar Documents

Publication Publication Date Title
US6266788B1 (en) System and method for automatically categorizing and characterizing data derived from a computer-based system
US7409316B1 (en) Method for performance monitoring and modeling
US20140033176A1 (en) Methods for predicting one or more defects in a computer program and devices thereof
US7082381B1 (en) Method for performance monitoring and modeling
US8381036B2 (en) Systems and methods for restoring machine state history related to detected faults in package update process
CN109858244A (zh) 一种容器内进程异常行为检测方法与系统
CN106815137A (zh) 用户界面测试方法与装置
CN105577472A (zh) 一种数据采集测试方法和装置
CN116340934A (zh) 终端异常行为检测方法、装置、设备及存储介质
CN110490132B (zh) 数据处理方法和装置
CN115147236A (zh) 一种处理方法、处理装置和电子设备
CN113079061B (zh) 一种物联网性能测试方法及系统
CN110765007A (zh) 一种面向安卓应用的崩溃信息线上分析方法
CN114116507B (zh) 一种基于Devops内生安全的源代码检测系统及方法
CN117691733A (zh) 一种配电自动化系统信息安全防护的评估方法及装置
CN115509854A (zh) 一种巡检处理方法、巡检服务器及系统
CN115292716A (zh) 第三方软件包的安全性分析方法、装置、设备及介质
CN112559292B (zh) 设备应用监控方法、半导体工艺设备
CN115373984A (zh) 代码覆盖率确定方法及装置
CN114138537A (zh) 一种面向安卓应用的崩溃信息线上分析方法
CN113127362A (zh) 对象测试方法、对象测试装置、电子设备及可读存储介质
EP3604195A1 (en) Method, system and computer program product for predicting failure of a noise-emitting apparatus
CN111651753A (zh) 用户行为分析系统及方法
CN110941537A (zh) 一种基于行为状态的进程检测方法及检测装置
CN113037550B (zh) 一种服务故障监控方法、系统及计算机可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20231124

Address after: 4th Floor, National Software Evaluation Center, No. 1800 Xiyou Road, High tech Zone, Hefei City, Anhui Province, 230031

Patentee after: ANHUI JIYUAN EXAMINATION AND DETECTION TECHNOLOGY Co.,Ltd.

Patentee after: State Grid Siji Location Service Co.,Ltd.

Address before: 230088 4th floor, national software evaluation center, 1800 Xiyou Road, high tech Zone, Hefei City, Anhui Province

Patentee before: ANHUI JIYUAN EXAMINATION AND DETECTION TECHNOLOGY Co.,Ltd.