CN115221530B - Sdlc流程中接口安全扫描方法、设备及系统 - Google Patents
Sdlc流程中接口安全扫描方法、设备及系统 Download PDFInfo
- Publication number
- CN115221530B CN115221530B CN202211120564.XA CN202211120564A CN115221530B CN 115221530 B CN115221530 B CN 115221530B CN 202211120564 A CN202211120564 A CN 202211120564A CN 115221530 B CN115221530 B CN 115221530B
- Authority
- CN
- China
- Prior art keywords
- interface
- information
- matched
- request message
- scanning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/70—Software maintenance or management
- G06F8/71—Version control; Configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Stored Programmes (AREA)
Abstract
本申请提供了一种SDLC流程中接口安全扫描方法,包括:当接收到接口安全扫描指令时,发送接口安全扫描请求给接口管理系统,以请求所述接口管理系统提供相应的APP版本需要安全扫描的接口的信息以获得待匹配的接口信息;将待匹配的接口信息在请求报文资产库进行匹配,所述请求报文资产库用于存储所述APP的请求报文,所述请求报文资产库中的请求报文为对若干APP的请求报文进行收集而得;对匹配成功的待匹配的接口信息所对应的接口进行安全扫描,放弃对匹配不成功的带匹配的接口信息所对应的接口进行安全扫描。本申请技术方案能够更加高效的对接口安全进行扫描。
Description
技术领域
本申请涉及移动互联网领域,尤其涉及一种SDLC流程中接口安全扫描方法、SDLC流程中接口安全扫描设备及SDLC流程中接口安全扫描系统。
背景技术
接口安全扫描是软件开发生命周期(SDLC)流程中重要的安全测试措施。但现有技术方案存在以下主要问题:
1、在接口安全扫描系统中填报系统入口地址,后续爬虫或被动流量收集阶段会收集目标系统所有接口资产,然后针对所有收集到接口资产进行接口安全扫描测试,如果安全检查插件较多,会造成大量发包量,对目标系统造成影响。
2、现有技术不便准确将该版本改动内容与新增安全问题关联,版本安全管控粒度不够细。
且在金融业,安全问题是核心,因而系统在支撑业务实现过程中,切实有效的安全管控尤为重要,接口安全扫描也是体现金融科技中的重要一环。
发明内容
有鉴于此,实有必要提供一种更加高效的SDLC流程中接口安全扫描方法、SDLC流程中接口安全扫描设备及SDLC流程中接口安全扫描系统。
第一方面,本申请实施例提供一种SDLC流程中接口安全扫描方法,所述SDLC流程中接口安全扫描方法包括:当接收到接口安全扫描指令时,发送接口安全扫描请求给接口管理系统,以请求所述接口管理系统提供相应的APP版本需要安全扫描的接口的信息以获得待匹配的接口信息,所述安全接口扫描指令包括至少包括相应的APP版本信息,所述接口管理系统存储有若干APP不同版本信息以及每一APP每一版本对应的接口信息,所述对应的接口信息包括新增接口和/或更新接口;将待匹配的接口信息在请求报文资产库进行匹配,所述请求报文资产库用于存储所述APP的请求报文,所述请求报文资产库中的请求报文为对若干APP的请求报文进行收集而得;对匹配成功的待匹配的接口信息所对应的接口进行安全扫描,放弃对匹配不成功的带匹配的接口信息所对应的接口进行安全扫描。
第二方面,本申请实施例提供一种SDLC流程中接口安全扫描设备,所述SDLC流程中接口安全扫描设备具体包括接口信息获取单元、匹配单元、扫描单元。接口信息获取单元,用于当接收到接口安全扫描指令时,发送接口安全扫描请求给接口管理系统,以从接口管理系统中获取相应的APP版本需要安全扫描的接口得到待匹配的接口信息,所述安全接口扫描指令包括至少包括相应的APP版本信息,所述接口管理系统存储有若干APP不同版本信息以及对应的接口信息,所述对应的接口信息包括新增接口和/或更新接口。匹配单元,将待匹配的接口信息在请求报文资产库进行匹配,所述请求报文资产库用于存储所述APP的请求报文,所述请求报文资产库中的请求报文为对若干APP的请求报文进行收集而得。扫描单元,对匹配成功的待匹配的接口信息所对应的接口进行安全扫描,放弃对匹配不成功的带匹配的接口信息所对应的接口进行安全扫描。
第三方面,本申请实施例提供一种SDLC流程中接口安全扫描系统,所述接口安全扫描系统包括:接口安全扫描平台、接口管理平台、以及请求报文资产库。所述SDLC流程中接口安全扫描平台具体包括接口信息获取单元、匹配单元、扫描单元。接口信息获取单元,用于当接收到接口安全扫描指令时,发送接口安全扫描请求给接口管理系统,以从接口管理系统中获取相应的APP版本需要安全扫描的接口得到待匹配的接口信息,所述安全接口扫描指令包括至少包括相应的APP版本信息,所述接口管理系统存储有若干APP不同版本信息以及对应的接口信息,所述对应的接口信息包括新增接口和/或更新接口。匹配单元,将待匹配的接口信息在请求报文资产库进行匹配,所述请求报文资产库用于存储所述APP的请求报文,所述请求报文资产库中的请求报文为对若干APP的请求报文进行收集而得。扫描单元,对匹配成功的待匹配的接口信息所对应的接口进行安全扫描,放弃对匹配不成功的带匹配的接口信息所对应的接口进行安全扫描。
上述SDLC流程中接口安全扫描方法、SDLC流程中接口安全扫描设备及SDLC流程中接口安全扫描系统,通过将获取相应APP版本对应的接口信息与资产请求库中的请求报文进行匹配,从而可以筛选出新增和/或更新的接口信息,其次接口扫描安全系统对筛选出的新增和/或更新的接口信息进行扫描,从而大大降低了接口安全扫描节点的发包量、提高接口测试效率、降低安全测试对业务系统的影响,同时实现了SDLC流程中接口安全精细化管控。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1为本申请实施例提供的SDLC流程中接口安全扫描方法的流程图。
图2为本申请实施例提供的接口安全扫描设备的程序功能模块示意图。
图3为本申请实施例提供的SDLC流程中接口安全扫描系统的接口安全扫描平台的程序功能模块示意图。
图4为本申请实施例提供的SDLC流程中接口安全扫描系统中的项目管理平台功能模块示意图。
图5为本申请实施例提供的SDLC流程中接口安全扫描系统中的研发流程管理平台示意图。
图6为本申请实施例提供的接口安全扫描设备的硬件结构示意图。
图7为本申请实施例提供的SDLC流程中接口安全扫描系统的系统架构示意图。
本申请目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的规划对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,换句话说,描述的实施例根据除了这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,还可以包含其他内容,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于只清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,在本申请中涉及“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者多个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本申请要求的保护范围之内。
请参看图7,本发明实施例提供一种SDLC流程中接口安全扫描方法,可以对不同版本的APP采用对应预设的接口进行扫描,在一些情况下只需要对新增组件的接口或者功能更新的功能组件接口进行扫描。在本实施例中,SDLC流程通过涉及接口安全扫描平台01、接口管理平台02、请求报文资产库03、项目管理平台04和研发流程管理平台05。也可以说,实现上述SDLC流程中接口安全扫描方法是通过基于SDLC流程的接口安全扫描系统实现的。基于SDLC流程的接口安全扫描系统包括接口安全扫描平台01、接口管理平台02、请求报文资产库03、项目管理平台04和研发流程管理平台05。其中,项目管理平台04用于存储对需求任务进行管理,其中可以用于获取需求任务并对需求任务识别出开发任务,并将开发任务注册到研发流程管理平台05。研发流程管理平台05供开发人员输入或者上传相应的信息或者文件对各开发信息或者进度进行监管。其中,研发流程管理平台05可以获取开发任务涉及的接口等,并当接口为新增或者更新接口时,将接口信息同步到接口管理平台02。请求报文资产库03用于存储不同APP的请求报文,请求报文资产库03中的请求报文为对若干APP的请求报文进行收集而得。例如,可以在APP测试阶段的请求报文进行收集,又例如,对APP所对应的接口进行爬虫得到;通过网络流量镜像获得各APP对应的接口的请求报文;又例如,通过各APP请求报文日志获得。也就是说,请求报文资产库03中的请求报文包括APP的测试请求报文或者对各APP所对应的接口进行爬虫得到的爬虫报文、网络流量镜像中关于各APP对应的接口的请求报文、或者各APP请求报文日志中关于各APP对应的接口的请求报文中的一者或者多者。接口安全扫描平台01应用于基于SDLC流程的接口安全扫描系统以实现SDLC流程中接口安全扫描方法。下面将详细描述SDLC流程中接口安全扫描方法。
请结合参看图1,其为本申请实施例提供的一种SDLC流程中接口安全扫描方法的流程图。所述SDLC流程中接口安全扫描方法具体包括如下步骤S102-S106。
步骤S102,当接收到接口安全扫描指令时,发送接口安全扫描请求给接口管理系统,以请求所述接口管理系统提供相应的APP版本需要安全扫描的接口的信息以获得待匹配的接口信息,所述安全接口扫描指令包括至少包括相应的APP版本信息,所述接口管理系统存储有若干APP不同版本信息以及每一APP每一版本对应的接口信息,所述对应的接口信息包括新增接口和/或更新接口。在一些可行的实施例中,用户在接口安全扫描系统3进行认证信息的认证,当用户通过认证后,则用户可以在接口安全扫描系统3上进行相应的APP版本接口的安全扫描。当接口安全扫描系统3接收到用户对相应APP进行接口安全扫描的指令时,该接口安全扫描系统3根据指令获取指令中相应APP版本信息,并根据所述APP版本信息向接口管理系统中获取相应APP版本对应的接口信息,接口管理系统接收接口安全扫描系统3发送过来的APP版本信息,因在接口管理系统中每一APP每一版本都有所对应的接口信息,所以接口管理系统根据接收的APP版本信息后根据相应APP查找出相应版本的接口信息发送给接口安全扫描系统3,接口安全扫描系统3将获取的接口管理系统发送的所述接口信息后,将所述接口信息变成待匹配的接口信息等待匹配。所述接口信息包括新增的功能组件所对应的接口以及更新功能组件所对应的接口。
步骤S104,将待匹配的接口信息在请求报文资产库03进行匹配,所述请求报文资产库03用于存储所述APP的请求报文,所述请求报文资产库03中的请求报文为对若干APP的请求报文进行收集而得。可以理解地,所述待匹配的接口信息中包括接口连接地址(URL)且所述接口的请求报文中也包括对应的接口连接地址(URL),则接口安全扫描系统3将从资产请求库中获取的接口请求报文与待匹配接口信息进行匹配。所述资产库中的请求报文为收集若干APP的请求报文而得,而收集APP的请求报文的方式则是对各APP进行测试得到的测试请求报文或者对各APP所对应的接口进行爬虫得到的爬虫报文、网络流量镜像中关于各APP对应的接口的请求报文、或者各APP请求报文日志中关于各APP对应的接口的请求报文中的一者或者多者。在本实施例中,报文资产库采用Elasticsearch数据库,但不局限于Elasticsearch数据库还可以采用其他现有的数据库进行存储,所述请求报文为HTTP请求报文。
举例来说,各APP进行测试得到的测试请求报文。所述测试请求报文为测试人员对相应APP进行功能测试过程中产生的请求报文,当测试人员测试完毕后,测试平台会将刚刚产生的请求报文同步到资产请求库中进行存储,方便后续的调用。在本实施例中,所述采用被动流量收集的方式来收集请求报文,都需要在对相应APP版本功能测试之后进行收集。
步骤S106,对匹配成功的待匹配的接口信息所对应的接口进行安全扫描。可以理解地,当所述待匹配的接口信息中包含的接口连接地址(URL)匹配到所述请求报文资产库03中请求报文包含的接口连接地址(URL),则待匹配的接口信息匹配成功,当所述待匹配的接口信息中包含的接口连接地址(URL)未匹配到所述请求报文资产库03中请求报文包含的接口连接地址(URL),则待匹配的接口信息匹配不成功。对于匹配成功的接口信息,接口安全扫描系统3将匹配成功的接口信息先进行存储等全部匹配完成后,对所述匹配成功的接口信息进行统一的安全扫描,在一些实施例中还可以,当接口安全扫描系统3对匹配成功的接口进行实时的接口安全扫描,也就是说,当接口安全扫描系统3监测到有匹配成功的接口信息时,则立即对该接口进行扫描。对于匹配失败的接口信息,接口安全扫描系统3对其进行过滤掉,放弃对匹配不成功的带匹配的接口信息所对应的接口进行安全扫描,也就是说,对于匹配失败的接口信息,接口安全扫描系统3不会对其进行扫描。上述实施例中,通过将获取相应APP版本对应的接口信息与资产请求库中的请求报文进行匹配,从而可以筛选出新增和/或更新的接口信息,并且在本实施例中,采用Elasticsearch数据库对请求报文进行存储,使得在进行所述匹配时可以更加快速的索引到相应的请求报文,其次接口安全扫描系统3对筛选出的新增和/或更新的接口信息进行扫描,从而大大降低了接口安全扫描节点的发包量、提高接口测试效率、降低安全测试对业务系统的影响,同时实现了SDLC流程中接口安全精细化管控,
请结合参看图2,其为本申请实施例提供的SDLC流程中接口安全扫描设备的流程图。所述接口安全扫描设备10包括接口信息获取模块100、匹配模块200、扫描模块300。
接口信息获取模块100,用于当接收到接口安全扫描指令时,发送接口安全扫描请求给接口管理系统,以从接口管理系统中获取相应的APP版本需要安全扫描的接口得到待匹配的接口信息,所述安全接口扫描指令包括至少包括相应的APP版本信息,所述接口管理系统存储有若干APP不同版本信息以及对应的接口信息,所述对应的接口信息包括新增接口和/或更新接口。
匹配模块200,将待匹配的接口信息在请求报文资产库03进行匹配,所述请求报文资产库03用于存储所述APP的请求报文,所述请求报文资产库03中的请求报文为对若干APP的请求报文进行收集而得。
扫描模块300,对匹配成功的待匹配的接口信息所对应的接口进行安全扫描,放弃对匹配不成功的带匹配的接口信息所对应的接口进行安全扫描。
请结合参看图2-图5、及图7,接口安全扫描平台01具体包括:接口信息获取单元011、匹配单元012和扫描单元013。
接口信息获取单元011,用于当接收到接口安全扫描指令时,发送接口安全扫描请求给接口管理平台02,以从接口管理平台02中获取相应的APP版本需要安全扫描的接口得到待匹配的接口信息,所述安全接口扫描指令包括至少包括相应的APP版本信息,所述接口管理平台02存储有若干APP不同版本信息以及对应的接口信息,所述对应的接口信息包括新增接口和/或更新接口。
匹配单元012,将待匹配的接口信息在请求报文资产库03进行匹配,所述请求报文资产库03用于存储所述APP的请求报文,所述请求报文资产库03中的请求报文为对若干APP的请求报文进行收集而得。
扫描单元013,对匹配成功的待匹配的接口信息所对应的接口进行安全扫描,放弃对匹配不成功的带匹配的接口信息所对应的接口进行安全扫描。
所述项目管理平台04具体包括任务获取单元041和任务识别单元042。
任务获取单元041,用于获取相应的APP的需求任务。可以理解地,用户在项目管理平台04中设置相应APP每一版本的需求任务,所述需求任务为对某一功能组件增加新的功能或改变组件的某一功能,也可以是增加一个组件或删除某个组件等在此不再一一举例。
任务识别单元042,用于识别所述需求任务中的开发任务。可以理解地,项目管理平台04根据用户设置的需求任务,将所述需求任务进行拆分成多个研发的任务以及对应的接口。
所述研发流程管理平台05具体包括接收单元051、接口识别单元052和同步单元053。
接收单元051,用于接收项目管理平台04下发的开发任务。可以理解地,项目管理平台04将拆分后的开发任务同步下发到研发流程管理平台05。
接口识别单元052,用于识别所述开发任务中涉及的对应接口。可以理解地,研发流程管理平台05对所述开发任务涉及的接口信息进行识别,并将识别后的接口信息与相应APP的上一版本的接口信息进行对比,并筛选出新增接口和/或更新接口。
同步单元053,用于将APP的接口信息同步给所述接口管理平台02以及当接口安全扫描平台01接收到相应APP版本的扫描任务时,将相应APP版本的接口信息同步给所述接口安全扫描平台01。具体地,研发流程管理平台05将筛选出的新增接口和/或更新接口进行同步到接口管理平台02;以及研发流程管理平台05自动感知接口安全扫描平台01所需的相应APP版本的接口信息,将筛选出的新增接口和/或更新接口进行同步到接口安全扫描系统3中。
上述实施例中,通过在SDLC中将需求任务和开发任务与接口变动进行关联,从而筛选出需要扫描的接口,进而使得接口安全扫描平台01可以更具有针对性的进行安全扫描。
请结合参看图6,其为本申请实施例提供的接口安全扫描设备的内部结构示意图。接口安全扫描设备10包括计算机可读存储介质11、处理器12以及总线13。其中,计算机可读存储介质11至少包括一种类型的可读存储介质,该可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、磁性存储器、磁盘、光盘等。计算机可读存储介质11在一些实施例中可以是接口安全扫描设备10的内部存储单元,例如接口安全扫描设备10的硬盘。计算机可读存储介质11在另一些实施例中也可以是的外部接口安全扫描设备10存储设备,例如接口安全扫描设备10上配备的插接式硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(Secure Digital, SD)卡、闪存卡(Flash Card)等。进一步地,计算机可读存储介质11还可以既包括接口安全扫描设备10的内部存储单元也包括外部存储设备。计算机可读存储介质11不仅可以用于存储安装于接口安全扫描设备10的应用软件及各类数据,还可以用于暂时地存储已经输出或者将要输出的数据。
总线13可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图6中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
进一步地,接口安全扫描设备10还可以包括显示组件14。显示组件14可以是发光二极管(Light Emitting Diode,LED)显示器、液晶显示器、触控式液晶显示器以及有机发光二极管(Organic Light-Emitting Diode,OLED)触摸器等。其中,显示组件14也可以适当的称为显示装置或显示单元,用于显示在接口安全扫描设备10中处理的信息以及用于显示可视化的用户界面。
进一步地,接口安全扫描设备10还可以包括通信组件15。通信组件15可选地可以包括有线通信组件和/或无线通信组件,如WI-FI通信组件、蓝牙通信组件等,通常用于在接口安全扫描设备10与其他智能控制设备之间建立通信连接。
处理器12在一些实施例中可以是一中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片,用于运行计算机可读存储介质11中存储的程序代码或处理数据。具体地,处理器12执行处理程序以控制接口安全扫描设备10实现SDLC流程中接口安全扫描方法。
可以理解地,图6仅示出了具有组件11-15以及SDLC流程中接口安全扫描方法的接口安全扫描设备10,本领域技术人员可以理解的是,图6示出的结构并不构成对接口安全扫描设备10的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘且本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
以上所列举的仅为本申请较佳实施例而已,当然不能以此来限定本申请之权利范围,因此依本申请权利要求所作的等同变化,仍属于本申请所涵盖的范围。
Claims (10)
1.一种SDLC流程中接口安全扫描方法,其特征在于,所述SDLC为软件开发生命周期,所述SDLC流程中接口安全扫描方法包括:
当接收到接口安全扫描指令时,发送接口安全扫描请求给接口管理平台,以请求所述接口管理平台提供相应的APP版本需要安全扫描的接口的信息以获得待匹配的接口信息,所述接口安全扫描指令至少包括相应的APP版本信息,所述接口管理平台存储有若干APP不同版本信息以及每一APP每一版本对应的接口信息,所述对应的接口信息包括新增接口和/或更新接口;
将待匹配的接口信息在请求报文资产库进行匹配,所述请求报文资产库用于存储所述APP的请求报文,所述请求报文资产库中的请求报文为对若干APP的请求报文进行收集而得;
对匹配成功的待匹配的接口信息所对应的接口进行安全扫描。
2.如权利要求1所述的SDLC流程中接口安全扫描方法,其特征在于,所述待匹配的接口信息包括对应的URL,所述请求报文包括对应的URL,将待匹配的接口信息在请求报文资产库进行匹配具体包括:
将所述待匹配的接口信息包含的URL与所述请求报文资产库中的请求报文包含的URL进行匹配;其中,当所述待匹配的接口信息包含的URL匹配到所述请求报文资产库中的请求报文包含的URL,则待匹配的接口信息匹配成功,当所述待匹配的接口信息包含的URL未匹配到所述请求报文资产库中的请求报文包含的URL,则待匹配的接口信息匹配不成功。
3.如权利要求1所述的SDLC流程中接口安全扫描方法,其特征在于,所述请求报文资产库中的请求报文包括各APP的测试请求报文、或者对各APP所对应的接口进行爬虫得到的爬虫报文、或者网络流量镜像中关于各APP对应的接口的请求报文、或者各APP请求报文日志中关于各APP对应的接口的请求报文。
4.如权利要求1所述的SDLC流程中接口安全扫描方法,其特征在于,所述接口安全扫描请求还包括认证信息,所述接口管理平台根据所述认证信息进行认证,当认证通过后发送所述待匹配的接口信息。
5.一种SDLC流程中接口安全扫描设备,其特征在于,所述SDLC流程中接口安全扫描设备包括:
接口信息获取模块,用于当接收到接口安全扫描指令时,发送接口安全扫描请求给接口管理平台,以从接口管理平台中获取相应的APP版本需要安全扫描的接口得到待匹配的接口信息,所述接口安全扫描指令至少包括相应的APP版本信息,所述接口管理平台存储有若干APP不同版本信息以及对应的接口信息,所述对应的接口信息包括新增接口和/或更新接口;
匹配模块,将待匹配的接口信息在请求报文资产库进行匹配,所述请求报文资产库用于存储所述APP的请求报文,所述请求报文资产库中的请求报文为对若干APP的请求报文进行收集而得;以及
扫描模块,对匹配成功的待匹配的接口信息所对应的接口进行安全扫描,放弃对匹配不成功的带匹配的接口信息所对应的接口进行安全扫描。
6.如权利要求5所述的SDLC流程中接口安全扫描设备,其特征在于,所述待匹配的接口信息包括对应的URL,所述请求报文包括对应的URL,所述匹配模块用于将所述待匹配的接口信息包含的URL与所述请求报文资产库中的请求报文包含的URL进行匹配;其中,当所述待匹配的接口信息包含的URL匹配到所述请求报文资产库中的请求报文包含的URL,则待匹配的接口信息匹配成功,当所述待匹配的接口信息包含的URL未匹配到所述请求报文资产库中的请求报文包含的URL,则待匹配的接口信息匹配不成功。
7.如权利要求5所述的SDLC流程中接口安全扫描设备,其特征在于,所述请求报文资产库中的请求报文包括各APP的测试请求报文、或者对各APP所对应的接口进行爬虫得到的爬虫报文、或者网络流量镜像中关于各APP对应的接口的请求报文、或者各APP请求报文日志中关于各APP对应的接口的请求报文。
8.一种SDLC流程中接口安全扫描系统,其特征在于,所述接口安全扫描系统包括:接口安全扫描平台、接口管理平台、以及请求报文资产库,其中:
所述接口安全扫描平台包括:
接口信息获取单元,用于当接收到接口安全扫描指令时,发送接口安全扫描请求给接口管理平台,以从接口管理平台中获取相应的APP版本需要安全扫描的接口得到待匹配的接口信息,所述接口安全扫描指令至少包括相应的APP版本信息,所述接口管理平台存储有若干APP不同版本信息以及对应的接口信息,所述对应的接口信息包括新增接口和/或更新接口;
匹配单元,将待匹配的接口信息在请求报文资产库进行匹配,所述请求报文资产库用于存储所述APP的请求报文,所述请求报文资产库中的请求报文为对若干APP的请求报文进行收集而得;以及
扫描单元,对匹配成功的待匹配的接口信息所对应的接口进行安全扫描。
9.如权利要求8所述的SDLC流程中接口安全扫描系统,其特征在于,所述接口安全扫描系统还包括项目管理平台和研发流程管理平台,
所述项目管理平台包括:
任务获取单元,用于获取相应的APP的需求任务;
任务识别单元,用于识别所述需求任务中的开发任务;
所述研发流程管理平台包括:
接收单元,用于接收项目管理平台下发的开发任务;
接口识别单元,用于识别所述开发任务中涉及的对应接口。
10.如权利要求9所述的SDLC流程中接口安全扫描系统,其特征在于,所述研发流程管理平台还包括同步单元,所述同步单元用于将APP的接口信息同步给所述接口管理平台以及当接口安全扫描平台接收到相应APP版本的扫描任务时,将相应APP版本的接口信息同步给所述接口安全扫描平台。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211120564.XA CN115221530B (zh) | 2022-09-15 | 2022-09-15 | Sdlc流程中接口安全扫描方法、设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211120564.XA CN115221530B (zh) | 2022-09-15 | 2022-09-15 | Sdlc流程中接口安全扫描方法、设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115221530A CN115221530A (zh) | 2022-10-21 |
| CN115221530B true CN115221530B (zh) | 2022-12-23 |
Family
ID=83617837
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211120564.XA Active CN115221530B (zh) | 2022-09-15 | 2022-09-15 | Sdlc流程中接口安全扫描方法、设备及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115221530B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018121262A (ja) * | 2017-01-26 | 2018-08-02 | 日本電信電話株式会社 | セキュリティ監視サーバ、セキュリティ監視方法、プログラム |
| CN110012092A (zh) * | 2019-04-02 | 2019-07-12 | 上海卓繁信息技术股份有限公司 | 一种http接口管理方法及装置 |
| CN110061998A (zh) * | 2019-04-25 | 2019-07-26 | 新华三信息安全技术有限公司 | 一种攻击防御方法及装置 |
| CN110572399A (zh) * | 2019-09-10 | 2019-12-13 | 百度在线网络技术(北京)有限公司 | 漏洞检测处理方法、装置、设备及存储介质 |
| CN112651029A (zh) * | 2021-01-08 | 2021-04-13 | 长沙树根互联技术有限公司 | 应用系统漏洞的检测系统、方法、存储介质及电子设备 |
| CN114144761A (zh) * | 2020-06-24 | 2022-03-04 | 京东方科技集团股份有限公司 | 发布系统、推送方法、应用设备、接收装置及服务管理设备 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170124464A1 (en) * | 2015-10-28 | 2017-05-04 | Fractal Industries, Inc. | Rapid predictive analysis of very large data sets using the distributed computational graph |
| CN105912364B (zh) * | 2016-04-13 | 2018-11-20 | 北京金山安全软件有限公司 | 软件升级方法及装置 |
-
2022
- 2022-09-15 CN CN202211120564.XA patent/CN115221530B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018121262A (ja) * | 2017-01-26 | 2018-08-02 | 日本電信電話株式会社 | セキュリティ監視サーバ、セキュリティ監視方法、プログラム |
| CN110012092A (zh) * | 2019-04-02 | 2019-07-12 | 上海卓繁信息技术股份有限公司 | 一种http接口管理方法及装置 |
| CN110061998A (zh) * | 2019-04-25 | 2019-07-26 | 新华三信息安全技术有限公司 | 一种攻击防御方法及装置 |
| CN110572399A (zh) * | 2019-09-10 | 2019-12-13 | 百度在线网络技术(北京)有限公司 | 漏洞检测处理方法、装置、设备及存储介质 |
| CN114144761A (zh) * | 2020-06-24 | 2022-03-04 | 京东方科技集团股份有限公司 | 发布系统、推送方法、应用设备、接收装置及服务管理设备 |
| CN112651029A (zh) * | 2021-01-08 | 2021-04-13 | 长沙树根互联技术有限公司 | 应用系统漏洞的检测系统、方法、存储介质及电子设备 |
Non-Patent Citations (1)
| Title |
|---|
| 端口扫描技术的原理及应用;肖微;《网络安全技术与应用》;20061001(第10期);第18-19页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115221530A (zh) | 2022-10-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107453960B (zh) | 一种在服务测试中处理测试数据的方法、装置和系统 | |
| CN108959067B (zh) | 搜索引擎的测试方法、装置及计算机可读存储介质 | |
| US20150142813A1 (en) | Language tag management on international data storage | |
| US20100106784A1 (en) | Electronic device with automatic software update function and method thereof | |
| CN110956269A (zh) | 数据模型的生成方法、装置、设备以及计算机存储介质 | |
| CN111522738A (zh) | 微服务系统的测试方法、装置、存储介质和电子设备 | |
| CN111859076B (zh) | 数据爬取方法、装置、计算机设备及计算机可读存储介质 | |
| CN113448862B (zh) | 软件版本测试方法、装置及计算机设备 | |
| CN112835808A (zh) | 接口测试方法、装置、计算机设备及存储介质 | |
| CN112817867A (zh) | 一种接口测试脚本生成方法、装置、计算机设备和介质 | |
| CN115033894A (zh) | 一种基于知识图谱的软件组件供应链安全检测方法及装置 | |
| JP6615071B2 (ja) | 計算機システム及びテストケース管理方法 | |
| CN107368407B (zh) | 信息处理方法和装置 | |
| CN111367531A (zh) | 代码处理方法及装置 | |
| CN106815223B (zh) | 一种海量图片管理方法和装置 | |
| CN114139161A (zh) | 一种批量检测漏洞的方法、装置、电子设备及介质 | |
| CN115221530B (zh) | Sdlc流程中接口安全扫描方法、设备及系统 | |
| CN111046316B (zh) | 一种应用上架状态监控方法、智能终端及存储介质 | |
| CN110795331A (zh) | 软件测试的方法和装置 | |
| CN110580216B (zh) | 一种应用提测的方法和装置 | |
| CN116737535A (zh) | 接口测试方法、装置、计算机设备和存储介质 | |
| CA3144122A1 (en) | Data verifying method, device and system | |
| CN114416807A (zh) | 一种客户账户的数据合并方法、装置及系统 | |
| CN114510400A (zh) | 任务执行方法、装置、电子设备及存储介质 | |
| CN114661753A (zh) | 话单检索方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |