CN115600213A - 基于应用程序的漏洞管理方法、装置、介质及设备 - Google Patents
基于应用程序的漏洞管理方法、装置、介质及设备 Download PDFInfo
- Publication number
- CN115600213A CN115600213A CN202211307910.5A CN202211307910A CN115600213A CN 115600213 A CN115600213 A CN 115600213A CN 202211307910 A CN202211307910 A CN 202211307910A CN 115600213 A CN115600213 A CN 115600213A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- target
- result
- application program
- execution result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/70—Software maintenance or management
- G06F8/71—Version control; Configuration management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请实施例提供一种基于应用程序的漏洞管理方法、装置、介质及设备,该方法包括:获取待检测漏洞的漏洞信息;根据定位信息获取与待检测漏洞对应的目标开发流程执行文件;判断目标开发流程执行文件中各环节的实际执行结果是否与漏洞类型对应的预期执行结果一致;若不一致,则将实际执行结果与预期执行结果不一致的异常环节在目标开发流程执行文件中进行标记。利用本申请实施例,通过对开发流程执行文件中的每个关键环节设定了执行规则。在应用程序出现漏洞后,通过对比开发流程执行文件中各环节的实际执行结果与该待测漏洞的漏洞类型对应的预期执行结果,进而在开发流程执行文件中定位待测漏洞具体存在的环节,并分析待测漏洞产生的具体原因。
Description
技术领域
本申请涉及电子通信技术领域,尤其涉及一种基于应用程序的漏洞管理技术领域,特别涉及一种基于应用程序的漏洞管理方法、装置、介质及设备。
背景技术
应用程序的开发生命周期在本领域中称为SDLC(Software Development LifeCycle),是软件的产生直到报废的生命周期,周期内有问题定义、可行性分析、总体描述、系统设计、编码、调试和测试、验收与运行、维护升级到废弃等阶段。对于一个应用程序而言,在其开发生命周期中任何一个节点没有维护好并很有可能造成应用程序在运行过程中出现异常,即漏洞。因此,对于应用程序的开发人员来说需要确保应用程序在上线前各个环节不会存在问题。但是,应用程序本身逻辑复杂,很难通过前期对所有问题进行细致排查,难免会有部分问题是不能被开发人员发现的,导致应用程序在上线后不可避免地出现各种漏洞,影响应用程序的正常运行。
发明内容
本申请实施例提供一种基于应用程序的漏洞管理方法、装置、介质及设备,利用本申请实施例提供的基于应用程序的漏洞管理方法,基于应用程序开发生命周期定义了多个关键环节,得到一个开发流程执行文件,并对开发流程执行文件中的每个关键环节设定了执行规则。在应用程序出现漏洞后,由开发人员将待测漏洞的漏洞信息上传系统,并调出应用程序的开发流程执行文件,对比开发流程执行文件中各环节的实际执行结果与该待测漏洞的漏洞类型对应的预期执行结果,进而在开发流程执行文件中定位待测漏洞具体存在的环节,并分析待测漏洞产生的具体原因。
本申请实施例一方面提供了一种基于应用程序的漏洞管理方法,所述基于应用程序的漏洞管理方法包括:
获取目标应用程序中待检测漏洞的漏洞信息,所述漏洞信息包括所述待检测漏洞的漏洞类型,及所述目标应用程序的开发流程执行文件的定位信息;
根据所述定位信息,获取与所述待检测漏洞对应的目标开发流程执行文件;
判断所述目标开发流程执行文件中各环节的实际执行结果是否与所述漏洞类型对应的预期执行结果一致,得到各环节对应的判断结果;
若所述判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,则将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中进行标记。
在本申请实施例所述的基于应用程序的漏洞管理方法中,若判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,所述方法还包括:
根据各所述异常环节中实际执行结果与预期执行结果存在不一致的差异信息,生成对应的文字说明;
在所述目标开发流程执行文件中,将所述文字说明插入与其对应的异常环节并以预设形式进行展示。
在本申请实施例所述的基于应用程序的漏洞管理方法中,所述定位信息包括与漏洞关联的应用程序的预设标识及开发流程执行文件的版本号;
所述根据所述定位信息,获取与所述待检测漏洞对应的目标开发流程执行文件,包括:
根据所述预设标识获取至少一个与版本号对应的需求信息;
根据版本号从所述至少一个与版本号对应的需求信息中获取与所述版本号对应的目标需求信息;
根据所述目标需求信息获取与其对应的目标开发流程执行文件。
在本申请实施例所述的基于应用程序的漏洞管理方法中,所述开发流程执行文件中各环节至少包括安全评审结果是否准确问题,安全场景的识别是否准确、针对安全场景识别所进行的安全设计是否准确完整。
在本申请实施例所述的基于应用程序的漏洞管理方法中,所述安全场景包括输入校验、输出编码校验、访问控制、参数化SQL、安全资源竞争及敏感信息使用检查中的一种或多种。
在本申请实施例所述的基于应用程序的漏洞管理方法中,在所述获取目标应用程序中待检测漏洞的漏洞信息之前,所述方法还包括:
提供一工单录入平台,所述工单录入平台用于供应用程序开发人员在发现目标应用程序存在漏洞后提供将待检测漏洞的漏洞信息。
在本申请实施例所述的基于应用程序的漏洞管理方法中,所述将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中进行标记,包括:
将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中通过字体颜色高亮或字体放大的形式进行标记。
相应的,本申请实施例另一方面还提供了一种基于应用程序的漏洞管理装置,所述基于应用程序的漏洞管理装置包括:
信息获取模块,用于获取目标应用程序中待检测漏洞的漏洞信息,所述漏洞信息包括所述待检测漏洞的漏洞类型,及所述目标应用程序的开发流程执行文件的定位信息;
文件获取模块,用于根据所述定位信息,获取与所述待检测漏洞对应的目标开发流程执行文件;
结果判断模块,用于判断所述目标开发流程执行文件中各环节的实际执行结果是否与所述漏洞类型对应的预期执行结果一致,得到各环节对应的判断结果;
结果标记模块,用于若所述判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,则将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中进行标记。
相应的,本申请实施例另一方面还提供了一种存储介质,所述存储介质存储有多条指令,所述指令适于处理器进行加载,以执行如上所述的基于应用程序的漏洞管理方法。
相应的,本申请实施例另一方面还提供了一种终端设备,包括处理器和存储器,所述存储器存储有多条指令,所述处理器加载所述指令以执行如上所述的基于应用程序的漏洞管理方法。
本申请实施例提供了一种基于应用程序的漏洞管理方法、装置、介质及设备,该方法通过获取目标应用程序中待检测漏洞的漏洞信息,所述漏洞信息包括所述待检测漏洞的漏洞类型,及所述目标应用程序的开发流程执行文件的定位信息;根据所述定位信息,获取与所述待检测漏洞对应的目标开发流程执行文件;判断所述目标开发流程执行文件中各环节的实际执行结果是否与所述漏洞类型对应的预期执行结果一致,得到各环节对应的判断结果;若所述判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,则将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中进行标记。利用本申请实施例提供的基于应用程序的漏洞管理方法,通过基于应用程序开发生命周期定义了多个关键环节,得到一个开发流程执行文件,并对开发流程执行文件中的每个关键环节设定了执行规则。重点在于关注应用程序的安全评审结果是否准确问题,安全场景的识别是否准确及针对安全场景识别所进行的安全设计是否准确及完整这几个关键环节。通过在应用程序出现漏洞后,由开发人员将待测漏洞的漏洞信息上传系统,并调出应用程序的开发流程执行文件,对比开发流程执行文件中各环节的实际执行结果与该待测漏洞的漏洞类型对应的预期执行结果,进而在开发流程执行文件中定位待测漏洞具体存在的环节,并分析待测漏洞产生的具体原因。同时,相较于现有技术大多是在软件上线前对其本方案主要在于漏洞发生后逆推漏洞产生原因,能够有针对性地解决漏洞产生原因。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的基于应用程序的漏洞管理方法的流程示意图。
图2为本申请实施例提供的基于应用程序的漏洞管理装置的结构示意图。
图3为本申请实施例提供的基于应用程序的漏洞管理装置的另一结构示意图。
图4为本申请实施例提供的终端设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本申请的保护范围。
需要说明的是,本方案主要适用于应用程序的漏洞管理的应用场景中,以下内容是对本方案背景做出的简单介绍:
本方案主要是围绕“如何快速定位漏洞存在于应用程序的开发生命周期中的具体环节,并确定导致漏洞产生的原因”这一技术问题开展的。可以理解的是,应用程序的开发生命周期在本领域中称为SDLC(Software Development Life Cycle),是软件的产生直到报废的生命周期,周期内有问题定义、可行性分析、总体描述、系统设计、编码、调试和测试、验收与运行、维护升级到废弃等阶段。对于一个应用程序而言,在其开发生命周期中任何一个节点没有维护好并很有可能造成应用程序在运行过程中出现异常,即漏洞。因此,对于应用程序的开发人员来说需要确保应用程序在上线前各个环节不会存在问题。但是,应用程序本身逻辑复杂,很难通过前期对所有问题进行细致排查,难免会有部分问题是不能被开发人员发现的,导致应用程序在上线后不可避免地出现各种漏洞,影响应用程序的正常运行。
为了确保应用程序在整个生命周期中能够正常运行,本申请实施例提供一种基于应用程序的漏洞管理方法。利用本申请实施例提供的基于应用程序的漏洞管理方法,基于应用程序开发生命周期定义了多个关键环节,得到一个开发流程执行文件,并对开发流程执行文件中的每个关键环节设定了执行规则。重点在于关注应用程序的安全评审结果是否准确问题,安全场景的识别是否准确及针对安全场景识别所进行的安全设计是否准确及完整这几个关键环节。通过在应用程序出现漏洞后,由开发人员将待测漏洞的漏洞信息上传系统,并调出应用程序的开发流程执行文件,对比开发流程执行文件中各环节的实际执行结果与该待测漏洞的漏洞类型对应的预期执行结果,进而在开发流程执行文件中定位待测漏洞具体存在的环节,并分析待测漏洞产生的具体原因。同时,相较于现有技术大多是在软件上线前对其本方案主要在于漏洞发生后逆推漏洞产生原因,能够有针对性地解决漏洞产生原因。
请参阅图1,图1为本申请实施例提供的基于应用程序的漏洞管理方法的流程示意图。所述基于应用程序的漏洞管理方法,应用于终端设备中。可选地,该终端设备为终端或服务器。可选地,该服务器是独立的物理服务器,或者是多个物理服务器构成的服务器集群或者分布式系统,或者是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。可选地,该终端是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表、智能语音交互设备、智能家电及车载终端等,但并不局限于此。
在一实施例中,以银行代批量扣费为例对本方案进行解释说明,所述方法可以包括以下步骤:
步骤101,获取目标应用程序中待检测漏洞的漏洞信息,所述漏洞信息包括所述待检测漏洞的漏洞类型,及所述目标应用程序的开发流程执行文件的定位信息。
其中,当应用程序的开发人员在测评某个应用程序的性能时发现存在漏洞,例如应用程序在用户登录过程中不需要输入密码便可以直接登录账号,这显然是不合理的,需要针对这一漏洞进行追溯,定位漏洞在应用程序的开发生命周期存在的环节,并确定产生漏洞的具体原因。具体地,当开发人员可以向终端设备发起信息录入请求,由终端设备在显示装置上提供一工单录入平台,供应用程序开发人员在发现目标应用程序存在漏洞后提供将待检测漏洞的漏洞信息。漏洞信息包括待检测漏洞的漏洞类型,及目标应用程序的开发流程执行文件的定位信息。
开发流程执行文件中各环节至少包括安全评审结果是否准确问题,安全场景的识别是否准确、针对安全场景识别所进行的安全设计是否准确完整。
安全场景包括输入校验、输出编码校验、访问控制、参数化SQL、安全资源竞争及敏感信息使用检查中的一种或多种。
步骤102,根据所述定位信息,获取与所述待检测漏洞对应的目标开发流程执行文件。
其中,定位信息包括与漏洞关联的应用程序的预设标识及开发流程执行文件的版本号。需要解释的是,每个应用程序都预先创建有与之对应的预设标识,例如“0001”。根据预设标识能够获取发现待测漏洞的应用程序对应的开发流程执行文件。由于同一个应用程序在不同的开发阶段可能存在多个不同版本的开发流程执行文件,因此还需要通过版本来确定目标开发流程执行文件。
具体地,根据定位信息中的预设标识获取至少一个与版本号对应的需求信息,根据版本号从至少一个与版本号对应的需求信息中获取与版本号对应的目标需求信息,根据目标需求信息获取与其对应的目标开发流程执行文件。
步骤103,判断所述目标开发流程执行文件中各环节的实际执行结果是否与所述漏洞类型对应的预期执行结果一致,得到各环节对应的判断结果。
其中,每个漏洞都可以归属为一种漏洞类型中,例如当开发人员发现应用程序在登录账号时不需要密码,则可以将该漏洞对应的漏洞类型定义为“身份验证异常”。针对每种漏洞类型在设计开发流程执行文件时对各个环节的配置规则不同,得到的预期执行结果也就有所不同,而预期执行结果是衡量一个应用程序在开发过程中是否按照要求执行,因此可以通过判断目标开发流程执行文件中各环节的实际执行结果是否与漏洞类型对应的预期执行结果一致,得到各环节对应的判断结果,进而判断造成应用程序存在漏洞的原因。
步骤104,若所述判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,则将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中进行标记。
其中,可以通过将异常环节所在区域进行字体颜色高亮或字体放大的形式进行标记。
在一些实施例中,可以根据各异常环节中实际执行结果与预期执行结果存在不一致的差异信息,生成对应的文字说明,在目标开发流程执行文件中,将文字说明插入与其对应的异常环节并以预设形式进行展示。
上述所有可选技术方案,可以采用任意结合形成本申请的可选实施例,在此不再一一赘述。
具体实施时,本申请不受所描述的各个步骤的执行顺序的限制,在不产生冲突的情况下,某些步骤还可以采用其它顺序进行或者同时进行。
由上可知,本申请实施例提供的基于应用程序的漏洞管理方法通过获取目标应用程序中待检测漏洞的漏洞信息,所述漏洞信息包括所述待检测漏洞的漏洞类型,及所述目标应用程序的开发流程执行文件的定位信息;根据所述定位信息,获取与所述待检测漏洞对应的目标开发流程执行文件;判断所述目标开发流程执行文件中各环节的实际执行结果是否与所述漏洞类型对应的预期执行结果一致,得到各环节对应的判断结果;若所述判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,则将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中进行标记。利用本申请实施例提供的基于应用程序的漏洞管理方法,基于应用程序开发生命周期定义了多个关键环节,得到一个开发流程执行文件,并对开发流程执行文件中的每个关键环节设定了执行规则。重点在于关注应用程序的安全评审结果是否准确问题,安全场景的识别是否准确及针对安全场景识别所进行的安全设计是否准确及完整这几个关键环节。通过在应用程序出现漏洞后,由开发人员将待测漏洞的漏洞信息上传系统,并调出应用程序的开发流程执行文件,对比开发流程执行文件中各环节的实际执行结果与该待测漏洞的漏洞类型对应的预期执行结果,进而在开发流程执行文件中定位待测漏洞具体存在的环节,并分析待测漏洞产生的具体原因。同时,相较于现有技术大多是在软件上线前对其本方案主要在于漏洞发生后逆推漏洞产生原因,能够有针对性地解决漏洞产生原因。
本申请实施例还提供一种基于应用程序的漏洞管理装置,所述基于应用程序的漏洞管理装置可以集成在终端设备中。
请参阅图2,图2为本申请实施例提供的基于应用程序的漏洞管理装置的结构示意图。基于应用程序的漏洞管理装置30可以包括:
信息获取模块31,用于获取目标应用程序中待检测漏洞的漏洞信息,所述漏洞信息包括所述待检测漏洞的漏洞类型,及所述目标应用程序的开发流程执行文件的定位信息;
文件获取模块32,用于根据所述定位信息,获取与所述待检测漏洞对应的目标开发流程执行文件;
结果判断模块33,用于判断所述目标开发流程执行文件中各环节的实际执行结果是否与所述漏洞类型对应的预期执行结果一致,得到各环节对应的判断结果;
结果标记模块34,用于若所述判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,则将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中进行标记。
在一些实施例中,若判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,所述装置还包括备注模块,用于根据各所述异常环节中实际执行结果与预期执行结果存在不一致的差异信息,生成对应的文字说明;在所述目标开发流程执行文件中,将所述文字说明插入与其对应的异常环节并以预设形式进行展示。
在一些实施例中,所述定位信息包括与漏洞关联的应用程序的预设标识及开发流程执行文件的版本号;所述文件获取模块32,用于根据所述预设标识获取至少一个与版本号对应的需求信息;根据版本号从所述至少一个与版本号对应的需求信息中获取与所述版本号对应的目标需求信息;根据所述目标需求信息获取与其对应的目标开发流程执行文件。
在一些实施例中,所述开发流程执行文件中各环节至少包括安全评审结果是否准确问题,安全场景的识别是否准确、针对安全场景识别所进行的安全设计是否准确完整。
在一些实施例中,所述安全场景包括输入校验、输出编码校验、访问控制、参数化SQL、安全资源竞争及敏感信息使用检查中的一种或多种。
在一些实施例中,所述装置还包括录入模块,用于提供一工单录入平台,所述工单录入平台用于供应用程序开发人员在发现目标应用程序存在漏洞后提供将待检测漏洞的漏洞信息。
在一些实施例中,所述结果标记模块34,用于将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中通过字体颜色高亮或字体放大的形式进行标记。
具体实施时,以上各个模块可以作为独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现。
由上可知,本申请实施例提供的基于应用程序的漏洞管理装置30,其中信息获取模块31用于获取目标应用程序中待检测漏洞的漏洞信息,所述漏洞信息包括所述待检测漏洞的漏洞类型,及所述目标应用程序的开发流程执行文件的定位信息;文件获取模块32用于根据所述定位信息,获取与所述待检测漏洞对应的目标开发流程执行文件;结果判断模块33用于判断所述目标开发流程执行文件中各环节的实际执行结果是否与所述漏洞类型对应的预期执行结果一致,得到各环节对应的判断结果;结果标记模块34用于若所述判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,则将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中进行标记。
请参阅图3,图3为本申请实施例提供的基于应用程序的漏洞管理装置的另一结构示意图,基于应用程序的漏洞管理装置30包括存储器120、一个或多个处理器180、以及一个或多个应用程序,其中该一个或多个应用程序被存储于该存储器120中,并配置为由该处理器180执行;该处理器180可以包括信息获取模块31、文件获取模块32,结果判断模块33,结果标记模块34,以及生成模块35。例如,以上各个部件的结构和连接关系可以如下:
存储器120可用于存储应用程序和数据。存储器120存储的应用程序中包含有可执行代码。应用程序可以组成各种功能模块。处理器180通过运行存储在存储器120的应用程序,从而执行各种功能应用以及数据处理。此外,存储器120可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器120还可以包括存储器控制器,以提供处理器180对存储器120的访问。
处理器180是装置的控制中心,利用各种接口和线路连接整个终端的各个部分,通过运行或执行存储在存储器120内的应用程序,以及调用存储在存储器120内的数据,执行装置的各种功能和处理数据,从而对装置进行整体监控。可选的,处理器180可包括一个或多个处理核心;优选的,处理器180可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等。
具体在本实施例中,处理器180会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行代码加载到存储器120中,并由处理器180来运行存储在存储器120中的应用程序,从而实现各种功能:
信息获取指令,用于获取目标应用程序中待检测漏洞的漏洞信息,所述漏洞信息包括所述待检测漏洞的漏洞类型,及所述目标应用程序的开发流程执行文件的定位信息;
文件获取指令,用于根据所述定位信息,获取与所述待检测漏洞对应的目标开发流程执行文件;
结果判断指令,用于判断所述目标开发流程执行文件中各环节的实际执行结果是否与所述漏洞类型对应的预期执行结果一致,得到各环节对应的判断结果;
结果标记指令,用于若所述判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,则将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中进行标记。
在一些实施例中,若判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,所述程序还包括备注指令,用于根据各所述异常环节中实际执行结果与预期执行结果存在不一致的差异信息,生成对应的文字说明;在所述目标开发流程执行文件中,将所述文字说明插入与其对应的异常环节并以预设形式进行展示。
在一些实施例中,所述定位信息包括与漏洞关联的应用程序的预设标识及开发流程执行文件的版本号;所述文件获取指令,用于根据所述预设标识获取至少一个与版本号对应的需求信息;根据版本号从所述至少一个与版本号对应的需求信息中获取与所述版本号对应的目标需求信息;根据所述目标需求信息获取与其对应的目标开发流程执行文件。
在一些实施例中,所述开发流程执行文件中各环节至少包括安全评审结果是否准确问题,安全场景的识别是否准确、针对安全场景识别所进行的安全设计是否准确完整。
在一些实施例中,所述安全场景包括输入校验、输出编码校验、访问控制、参数化SQL、安全资源竞争及敏感信息使用检查中的一种或多种。
在一些实施例中,所述程序还包括录入指令,用于提供一工单录入平台,所述工单录入平台用于供应用程序开发人员在发现目标应用程序存在漏洞后提供将待检测漏洞的漏洞信息。
在一些实施例中,所述结果标记指令,用于将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中通过字体颜色高亮或字体放大的形式进行标记。
本申请实施例还提供一种终端设备。所述终端设备可以是服务器、智能手机、电脑、平板电脑等设备。
请参阅图4,图4示出了本申请实施例提供的终端设备的结构示意图,该终端设备可以用于实施上述实施例中提供的基于应用程序的漏洞管理方法。该终端设备1200可以为电视机或智能手机或平板电脑。
如图4所示,终端设备1200可以包括RF(Radio Frequency,射频)电路110、包括有一个或一个以上(图中仅示出一个)计算机可读存储介质的存储器120、输入单元130、显示单元140、传感器150、音频电路160、传输模块170、包括有一个或者一个以上(图中仅示出一个)处理核心的处理器180以及电源190等部件。本领域技术人员可以理解,图4中示出的终端设备1200结构并不构成对终端设备1200的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
RF电路110用于接收以及发送电磁波,实现电磁波与电信号的相互转换,从而与通讯网络或者其他设备进行通讯。RF电路110可包括各种现有的用于执行这些功能的电路元件,例如,天线、射频收发器、数字信号处理器、加密/解密芯片、用户身份模块(SIM)卡、存储器等等。RF电路110可与各种网络如互联网、企业内部网、无线网络进行通讯或者通过无线网络与其他设备进行通讯。
存储器120可用于存储软件程序以及模块,如上述实施例中基于应用程序的漏洞管理方法对应的程序指令/模块,处理器180通过运行存储在存储器120内的软件程序以及模块,从而执行各种功能应用以及数据处理,可以根据终端设备所处的当前场景来自动选择振动提醒模式来进行基于应用程序的漏洞管理,既能够保证会议等场景不被打扰,又能保证用户可以感知来电,提升了终端设备的智能性。存储器120可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器120可进一步包括相对于处理器180远程设置的存储器,这些远程存储器可以通过网络连接至终端设备1200。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入单元130可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。具体地,输入单元130可包括触敏表面131以及其他输入设备132。触敏表面131,也称为触控显示屏或者触控板,可收集用户在其上或附近的触控操作(比如用户使用手指、触笔等任何适合的物体或附件在触敏表面131上或在触敏表面131附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触敏表面131可包括触控检测装置和触控控制器两个部分。其中,触控检测装置检测用户的触控方位,并检测触控操作带来的信号,将信号传送给触控控制器;触控控制器从触控检测装置上接收触控信息,并将它转换成触点坐标,再送给处理器180,并能接收处理器180发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触敏表面131。除了触敏表面131,输入单元130还可以包括其他输入设备132。具体地,其他输入设备132可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元140可用于显示由用户输入的信息或提供给用户的信息以及终端设备1200的各种图形用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。显示单元140可包括显示面板141,可选的,可以采用LCD(Liquid CrystalDisplay,液晶显示器)、OLED(Organic Light-Emitting Diode,有机发光二极管)等形式来配置显示面板141。进一步的,触敏表面131可覆盖显示面板141,当触敏表面131检测到在其上或附近的触控操作后,传送给处理器180以确定触控事件的类型,随后处理器180根据触控事件的类型在显示面板141上提供相应的视觉输出。虽然在图4中,触敏表面131与显示面板141是作为两个独立的部件来实现输入和输出功能,但是在某些实施例中,可以将触敏表面131与显示面板141集成而实现输入和输出功能。
终端设备1200还可包括至少一种传感器150,比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板141的亮度,接近传感器可在终端设备1200移动到耳边时,关闭显示面板141和/或背光。作为运动传感器的一种,重力加速度传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于终端设备1200还可配置的陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
音频电路160、扬声器161,传声器162可提供用户与终端设备1200之间的音频接口。音频电路160可将接收到的音频数据转换后的电信号,传输到扬声器161,由扬声器161转换为声音信号输出;另一方面,传声器162将收集的声音信号转换为电信号,由音频电路160接收后转换为音频数据,再将音频数据输出处理器180处理后,经RF电路110以发送给比如另一终端,或者将音频数据输出至存储器120以便进一步处理。音频电路160还可能包括耳塞插孔,以提供外设耳机与终端设备1200的通信。
终端设备1200通过传输模块170(例如Wi-Fi模块)可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图4示出了传输模块170,但是可以理解的是,其并不属于终端设备1200的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
处理器180是终端设备1200的控制中心,利用各种接口和线路连接整个手机的各个部分,通过运行或执行存储在存储器120内的软件程序和/或模块,以及调用存储在存储器120内的数据,执行终端设备1200的各种功能和处理数据,从而对手机进行整体监控。可选的,处理器180可包括一个或多个处理核心;在一些实施例中,处理器180可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器180中。
终端设备1200还包括给各个部件供电的电源190,在一些实施例中,电源可以通过电源管理系统与处理器180逻辑相连,从而通过电源管理系统实现管理放电、以及功耗管理等功能。电源190还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
尽管未示出,终端设备1200还可以包括摄像头(如前置摄像头、后置摄像头)、蓝牙模块等,在此不再赘述。具体在本实施例中,终端设备1200的显示单元140是触控屏显示器,终端设备1200还包括有存储器120,以及一个或者一个以上的程序,其中一个或者一个以上程序存储于存储器120中,且经配置以由一个或者一个以上处理器180执行一个或者一个以上程序包含用于进行以下操作的指令:
信息获取指令,用于获取目标应用程序中待检测漏洞的漏洞信息,所述漏洞信息包括所述待检测漏洞的漏洞类型,及所述目标应用程序的开发流程执行文件的定位信息;
文件获取指令,用于根据所述定位信息,获取与所述待检测漏洞对应的目标开发流程执行文件;
结果判断指令,用于判断所述目标开发流程执行文件中各环节的实际执行结果是否与所述漏洞类型对应的预期执行结果一致,得到各环节对应的判断结果;
结果标记指令,用于若所述判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,则将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中进行标记。
在一些实施例中,若判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,所述程序还包括备注指令,用于根据各所述异常环节中实际执行结果与预期执行结果存在不一致的差异信息,生成对应的文字说明;在所述目标开发流程执行文件中,将所述文字说明插入与其对应的异常环节并以预设形式进行展示。
在一些实施例中,所述定位信息包括与漏洞关联的应用程序的预设标识及开发流程执行文件的版本号;所述文件获取指令,用于根据所述预设标识获取至少一个与版本号对应的需求信息;根据版本号从所述至少一个与版本号对应的需求信息中获取与所述版本号对应的目标需求信息;根据所述目标需求信息获取与其对应的目标开发流程执行文件。
在一些实施例中,所述开发流程执行文件中各环节至少包括安全评审结果是否准确问题,安全场景的识别是否准确、针对安全场景识别所进行的安全设计是否准确完整。
在一些实施例中,所述安全场景包括输入校验、输出编码校验、访问控制、参数化SQL、安全资源竞争及敏感信息使用检查中的一种或多种。
在一些实施例中,所述程序还包括录入指令,用于提供一工单录入平台,所述工单录入平台用于供应用程序开发人员在发现目标应用程序存在漏洞后提供将待检测漏洞的漏洞信息。
在一些实施例中,所述结果标记指令,用于将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中通过字体颜色高亮或字体放大的形式进行标记。
本申请实施例还提供一种终端设备。所述终端设备可以是智能手机、电脑等设备。
由上可知,本申请实施例提供了一种终端设备1200,所述终端设备1200执行以下步骤:
获取目标应用程序中待检测漏洞的漏洞信息,所述漏洞信息包括所述待检测漏洞的漏洞类型,及所述目标应用程序的开发流程执行文件的定位信息;
根据所述定位信息,获取与所述待检测漏洞对应的目标开发流程执行文件;
判断所述目标开发流程执行文件中各环节的实际执行结果是否与所述漏洞类型对应的预期执行结果一致,得到各环节对应的判断结果;
若所述判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,则将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中进行标记。
本申请实施例还提供一种存储介质,所述存储介质中存储有计算机程序,当所述计算机程序在计算机上运行时,所述计算机执行上述任一实施例所述的基于应用程序的漏洞管理方法。
需要说明的是,对本申请所述基于应用程序的漏洞管理方法而言,本领域普通测试人员可以理解实现本申请实施例所述基于应用程序的漏洞管理方法的全部或部分流程,是可以通过计算机程序来控制相关的硬件来完成,所述计算机程序可存储于一计算机可读存储介质中,如存储在终端设备的存储器中,并被该终端设备内的至少一个处理器执行,在执行过程中可包括如所述基于应用程序的漏洞管理方法的实施例的流程。其中,所述存储介质可为磁碟、光盘、只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,RandomAccess Memory)等。
对本申请实施例的所述基于应用程序的漏洞管理装置而言,其各功能模块可以集成在一个处理芯片中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读存储介质中,所述存储介质譬如为只读存储器,磁盘或光盘等。
以上对本申请实施例所提供的基于应用程序的漏洞管理方法、装置、介质及设备进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种基于应用程序的漏洞管理方法,其特征在于,包括:
获取目标应用程序中待检测漏洞的漏洞信息,所述漏洞信息包括所述待检测漏洞的漏洞类型,及所述目标应用程序的开发流程执行文件的定位信息;
根据所述定位信息,获取与所述待检测漏洞对应的目标开发流程执行文件;
判断所述目标开发流程执行文件中各环节的实际执行结果是否与所述漏洞类型对应的预期执行结果一致,得到各环节对应的判断结果;
若所述判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,则将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中进行标记。
2.如权利要求1所述的漏洞管理方法,其特征在于,若判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,所述方法还包括:
根据各所述异常环节中实际执行结果与预期执行结果存在不一致的差异信息,生成对应的文字说明;
在所述目标开发流程执行文件中,将所述文字说明插入与其对应的异常环节并以预设形式进行展示。
3.如权利要求1所述的漏洞管理方法,其特征在于,所述定位信息包括与漏洞关联的应用程序的预设标识及开发流程执行文件的版本号;
所述根据所述定位信息,获取与所述待检测漏洞对应的目标开发流程执行文件,包括:
根据所述预设标识获取至少一个与版本号对应的需求信息;
根据版本号从所述至少一个与版本号对应的需求信息中获取与所述版本号对应的目标需求信息;
根据所述目标需求信息获取与其对应的目标开发流程执行文件。
4.如权利要求1所述的漏洞管理方法,其特征在于,所述开发流程执行文件中各环节至少包括安全评审结果是否准确问题,安全场景的识别是否准确、针对安全场景识别所进行的安全设计是否准确完整。
5.如权利要求4所述的漏洞管理方法,其特征在于,所述安全场景包括输入校验、输出编码校验、访问控制、参数化SQL、安全资源竞争及敏感信息使用检查中的一种或多种。
6.如权利要求1所述的漏洞管理方法,其特征在于,在所述获取目标应用程序中待检测漏洞的漏洞信息之前,所述方法还包括:
提供一工单录入平台,所述工单录入平台用于供应用程序开发人员在发现目标应用程序存在漏洞后提供将待检测漏洞的漏洞信息。
7.如权利要求1所述的漏洞管理方法,其特征在于,所述将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中进行标记,包括:
将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中通过字体颜色高亮或字体放大的形式进行标记。
8.一种基于应用程序的漏洞管理装置,其特征在于,所述基于应用程序的漏洞管理装置包括:
信息获取模块,用于获取目标应用程序中待检测漏洞的漏洞信息,所述漏洞信息包括所述待检测漏洞的漏洞类型,及所述目标应用程序的开发流程执行文件的定位信息;
文件获取模块,用于根据所述定位信息,获取与所述待检测漏洞对应的目标开发流程执行文件;
结果判断模块,用于判断所述目标开发流程执行文件中各环节的实际执行结果是否与所述漏洞类型对应的预期执行结果一致,得到各环节对应的判断结果;
结果标记模块,用于若所述判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,则将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中进行标记。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有多条指令,所述指令适于处理器进行加载,以执行权利要求1至7任一项所述的基于应用程序的漏洞管理方法。
10.一种终端设备,其特征在于,包括处理器和存储器,所述存储器存储有多条指令,所述处理器加载所述指令以执行权利要求1至7任一项所述的基于应用程序的漏洞管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211307910.5A CN115600213A (zh) | 2022-10-24 | 2022-10-24 | 基于应用程序的漏洞管理方法、装置、介质及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211307910.5A CN115600213A (zh) | 2022-10-24 | 2022-10-24 | 基于应用程序的漏洞管理方法、装置、介质及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115600213A true CN115600213A (zh) | 2023-01-13 |
Family
ID=84849817
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211307910.5A Pending CN115600213A (zh) | 2022-10-24 | 2022-10-24 | 基于应用程序的漏洞管理方法、装置、介质及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115600213A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116541305A (zh) * | 2023-06-26 | 2023-08-04 | 京东方艺云(杭州)科技有限公司 | 一种异常检测的方法、装置、电子设备及存储介质 |
-
2022
- 2022-10-24 CN CN202211307910.5A patent/CN115600213A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116541305A (zh) * | 2023-06-26 | 2023-08-04 | 京东方艺云(杭州)科技有限公司 | 一种异常检测的方法、装置、电子设备及存储介质 |
| CN116541305B (zh) * | 2023-06-26 | 2023-12-15 | 京东方艺云(杭州)科技有限公司 | 一种异常检测的方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108536594B (zh) | 页面测试方法、装置及存储设备 | |
| CN110196795B (zh) | 检测移动终端应用运行状态的方法及相关装置 | |
| CN111752843B (zh) | 用于确定影响面的方法、装置、电子设备及可读存储介质 | |
| CN106649126B (zh) | 一种对应用程序进行测试的方法和装置 | |
| CN111723002A (zh) | 一种代码调试方法、装置、电子设备及存储介质 | |
| CN111078556A (zh) | 应用测试方法及装置 | |
| CN112749074B (zh) | 一种测试用例推荐方法以及装置 | |
| CN115600213A (zh) | 基于应用程序的漏洞管理方法、装置、介质及设备 | |
| CN110765085A (zh) | 日志信息写入方法、系统、存储介质及移动终端 | |
| CN112199246B (zh) | 终端测试方法、装置、存储介质及移动终端 | |
| CN106709330B (zh) | 记录文件执行行为的方法及装置 | |
| CN109145598B (zh) | 脚本文件的病毒检测方法、装置、终端及存储介质 | |
| CN115589432A (zh) | 消息推送管理方法、装置、介质及设备 | |
| CN112667868B (zh) | 一种数据检测方法以及装置 | |
| CN109558731B (zh) | 特征码处理方法、装置及存储介质 | |
| CN110716908A (zh) | 日志信息写入方法、系统、存储介质及移动终端 | |
| CN115509936A (zh) | 程序测试方法、装置、介质及设备 | |
| CN115344413A (zh) | 账单异常问题定位方法、装置、介质及设备 | |
| US20230111874A1 (en) | Device emulations in a notebook session | |
| CN117435457A (zh) | 平台性能自动化测试方法、装置、介质及设备 | |
| CN115981631A (zh) | 代码管理方法、装置、存储介质及电子设备 | |
| CN115543841A (zh) | 数据更新测试方法、装置、介质及设备 | |
| CN115495383A (zh) | 数据推送方法、装置、存储介质及电子设备 | |
| CN116383053A (zh) | 软件代码缺陷检测方法、装置、介质及设备 | |
| CN115237744A (zh) | 数据传输方法、装置及终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |