CN115618324A - 静态应用安全测试工具的管理方法、装置、设备及介质 - Google Patents
静态应用安全测试工具的管理方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN115618324A CN115618324A CN202211299317.0A CN202211299317A CN115618324A CN 115618324 A CN115618324 A CN 115618324A CN 202211299317 A CN202211299317 A CN 202211299317A CN 115618324 A CN115618324 A CN 115618324A
- Authority
- CN
- China
- Prior art keywords
- data
- test
- static application
- tool
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Quality & Reliability (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了静态应用安全测试工具的管理方法、装置、设备及介质,基于所述静态应用安全测试系统中预设的标识鉴别机制,对静态应用中当前账号的用户数据进行标识,获取对应的标识数据,并根据所述标识数据确定符合预设身份的测试工具;基于所述预设身份的测试工具进行安全测试,并根据所述测试工具进行安全测试的可审计事件生成对应的审计记录数据;基于所述静态应用安全测试系统预设的数据保护功能,对所述静态应用安全测试系统中的资产数据和所述审计记录数据进行数据保护。本发明通过标识鉴别、安全审计和数据保护,实现了静态应用安全测试工具体系化安全功能的管理系统,降低了静态应用安全工具自身的风险性,提高了安全测试效率。
Description
技术领域
本发明涉及应用安全技术领域,尤其涉及一种静态应用安全测试工具的管理方法、装置、设备及介质。
背景技术
随着互联网时代的来临,数据安全的问题日益突出,全球每年都会有大量的爆炸性数据泄露事件发生,而数据泄露的规模、破坏性和影响也越来越大。根据Identify TheftResearch Center中心的数据显示,与2021年同期相比,今年的数据泄漏事件增长了14%,而公用事业企业、医疗机构、金融服务公司、制造企业是黑客的首要攻击目标。在此前提下,诞生了大量的静态应用安全测试工具对源代码的安全问题进行测试。
然而,静态应用安全测试工具的数据安全往往被忽略,导致工具自身出现安全问题,成为数据安全新的风险点。目前静态应用安全测试工具不存在体系化的数据安全管理的安全功能开发方法,这导致工具在使用过程中存在数据安全问题。因此,静态应用安全工具在进行安全测试时会存在测试效率低和存在安全性问题。
发明内容
本发明的主要目的在于提出一种静态应用安全测试工具的管理方法、装置、设备及介质,旨在提高静态应用安全测试工具进行安全测试的效率和安全性。
为实现上述目的,本发明提供一种静态应用安全测试工具的管理方法,所述静态应用安全测试工具的管理方法应用于静态应用安全测试系统,包括:
基于所述静态应用安全测试系统中预设的标识鉴别机制,对静态应用中当前账号的用户数据进行标识,获取对应的标识数据,并根据所述标识数据确定符合预设身份的测试工具;
基于所述预设身份的测试工具进行安全测试,并根据所述测试工具进行安全测试的可审计事件生成对应的审计记录数据;
基于所述静态应用安全测试系统预设的数据保护功能,对所述静态应用安全测试系统中的资产数据和所述审计记录数据进行数据保护。
优选地,所述基于所述静态应用安全测试系统中预设的标识鉴别机制,对静态应用中当前账号的用户数据进行标识,获取对应的标识数据,并根据所述标识数据确定符合预设身份的测试工具的步骤,包括:
基于预设的用户账号登录所述静态应用安全测试系统;
基于所述标识鉴别机制的标识功能,对当前用户账号中的用户数据进行标识,得到标识数据;
基于所述标识鉴别机制的鉴别功能,根据当前用户的标识数据对当前进行访问的测试工具进行身份鉴别,确定符合预设身份的测试工具。
优选地,所述基于所述标识鉴别机制的鉴别功能,根据当前用户的标识数据对当前进行访问的测试工具进行身份鉴别,确定符合预设身份的测试工具的步骤,包括:
基于预设的鉴别反馈机制,根据所述标识数据进行验证,判断所述测试工具是否符合预设身份,并返回对应的验证信息;
若所述测试工具的验证信息符合预设标准,则所述测试工具为被允许访问的测试工具。
优选地,在所述判断所述测试工具是否符合预设身份,并返回对应的验证信息的步骤之后,所述方法还包括:
若所述测试工具的验证信息不符合预设标准,则所述测试工具的鉴别身份为不被允许的访问工具;
基于所述静态应用安全测试系统的安全功能对当前账户进行锁定,所述不被允许访问工具禁止对当前账户进行访问;
直到当前账户达到预设的解锁条件,当前账户在解锁后对再次访问的测试工具进行身份鉴别。
优选地,所述基于所述预设身份的测试工具进行安全测试,并根据所述测试工具进行安全测试的可审计事件生成对应的审计记录数据的步骤,包括:
获取当前账号预先设定的可审计事件;
提取在所述测试工具进行安全测试过程中的可审计事件,并根据所述测试过程中的可审计事件生成对应的审计记录数据。
优选地,所述基于所述静态应用安全测试系统预设的数据保护功能,对所述静态应用安全测试系统中的资产数据和所述审计记录数据进行数据保护的步骤,包括:
基于所述数据保护功能,对所述资产数据进行预设的访问控制,确定所述测试工具进行访问的访问权限,所述审计记录数据与所述访问权限对应;
对所述审计记录数据中对应的测试对象进行脆弱性收集,确定所述测试对象中的脆弱性信息列表;
将所述脆弱性信息列表进行预设方式的存储,实现对当前账户中的数据保护。
优选地,在所述基于所述数据保护功能,对所述资产数据进行预设的访问控制的步骤之前,所述方法还包括:
在所述静态应用安全测试系统的数据模块之间建立可信工具用于数据传输的可信信道;
基于所述可信信道对所述审计记录数据、资产数据和脆弱性信息列表中的数据进行数据传输,用以实现静态应用安全测试系统中的数据可信传输。
此外,为实现上述目的,本发明实施例还提出一种测试工具管理装置,所述测试工具管理装置包括:
身份鉴别模块,用于基于静态应用安全测试系统中预设的标识鉴别机制,对静态应用中当前账号的用户数据进行标识,并确定身份鉴别后符合预设身份的测试工具;
安全审计模块,用于基于所述预设身份的测试工具进行安全测试,并根据所述测试工具进行安全测试的可审计事件生成对应的审计记录数据;
数据保护模块,用于基于所述静态应用安全测试系统预设的数据保护功能,对所述静态应用安全测试系统中的资产数据和所述审计记录数据进行数据保护。
优选地,所述身份鉴别模块,包括:
基于预设的用户账号登录所述静态应用安全测试系统;
基于所述标识鉴别机制的标识功能,对当前用户账号中的用户数据进行标识,得到标识数据;
基于所述标识鉴别机制的鉴别功能,根据当前用户的标识数据对当前进行访问的测试工具进行身份鉴别,确定符合预设身份的测试工具。
优选地,所述身份鉴别模块,还包括:
基于预设的鉴别反馈机制,根据所述标识数据进行验证,判断所述测试工具是否符合预设身份,并返回对应的验证信息;
若所述测试工具的验证信息符合预设标准,则所述测试工具为被允许访问的测试工具。
优选地,所述身份鉴别模块,还包括:
若所述测试工具的验证信息不符合预设标准,则所述测试工具的鉴别身份为不被允许的访问工具;
基于所述静态应用安全测试系统的安全功能对当前账户进行锁定,所述不被允许访问工具禁止对当前账户进行访问;
直到当前账户达到预设的解锁条件,当前账户在解锁后对再次访问的测试工具进行身份鉴别。
优选地,所述安全审计模块,包括:
获取当前账号预先设定的可审计事件;
提取在所述测试工具进行安全测试过程中的可审计事件,并根据所述测试过程中的可审计事件生成对应的审计记录数据。
优选地,所述数据保护模块,包括:
基于所述数据保护功能,对所述资产数据进行预设的访问控制,确定所述测试工具进行访问的访问权限,所述审计记录数据与所述访问权限对应;
对所述审计记录数据中对应的测试对象进行脆弱性收集,确定所述测试对象中的脆弱性信息列表;
将所述脆弱性信息列表进行预设方式的存储,实现对当前账户中的数据保护。
优选地,所述数据保护模块,还包括:
在所述静态应用安全测试系统的数据模块之间建立可信工具用于数据传输的可信信道;
基于所述可信信道对所述审计记录数据、资产数据和脆弱性信息列表中的数据进行数据传输,用以实现静态应用安全测试系统中的数据可信传输。
此外,为实现上述目的,本发明实施例还提出一种设备,所述设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的测试工具管理程序,所述测试工具管理程序被所述处理器执行实现如上所述的安全测试工具的管理方法步骤。
此外,为实现上述目的,本发明还提供一种介质,所述介质为计算机可读存储介质,所述计算机可读存储介质上存储有测试工具管理程序,所述测试工具管理程序被处理器执行时实现如上所述的安全测试工具的管理方法的步骤。
本发明提出的静态应用安全测试工具的管理方法、装置、设备及介质,所述安全测试工具的管理方法应用于静态应用安全测试系统,包括:基于所述静态应用安全测试系统中预设的标识鉴别机制,对静态应用中当前账号的用户数据进行标识,获取对应的标识数据,并根据所述标识数据确定符合预设身份的测试工具;基于所述预设身份的测试工具进行安全测试,并根据所述测试工具进行安全测试的可审计事件生成对应的审计记录数据;基于所述静态应用安全测试系统预设的数据保护功能,对所述静态应用安全测试系统中的资产数据和所述审计记录数据进行数据保护。
本发明通过对当前静态应用安全测试系统中当前用户的用户数据进行标识,确定对应的标识数据,并对进行安全测试数据访问的测试工具进行身份鉴别,确定当前静态应用安全测试系统中进行访问的测试工具为预设身份的测试工具,实现表示与鉴别的目的。再通过上述测试工具进行安全测试,将安全测试对应的测试过程中的可审计事件记录为对应的审计记录数据,实现对测试工具进行安全测试的安全审计目的。最后通过预设的数据保护功能实现上述静态应用安全测试系统中所有数据的传输,用以实现静态应用安全测试系统中所有数据的加密存储和传输保护的功能。基于静态应用安全测试系统中以上三个模块实现了静态应用安全测试工具体系化的管理系统,降低了安全测试过程中测试工具的风险性,提高了进行安全测试时测试效率。
附图说明
图1为本发明静态应用安全测试工具的管理方法实施例方案涉及的硬件运行环境的设备结构示意图;
图2为本发明静态应用安全测试工具的管理方法第一实施例的流程示意图;
图3为本发明静态应用安全测试工具的管理方法涉及的系统流程示意图;
图4为本发明静态应用安全测试工具的管理方法第二实施例的流程示意图;
图5为本发明静态应用安全测试工具的管理方法第二实施例中步骤S14的子流程示意图;
图6为本发明静态应用安全测试工具的管理方法第二实施例中的另一种实施方式的流程示意图;
图7为本发明静态应用安全测试工具的管理方法第三实施例的流程示意图;
图8为本发明静态应用安全测试工具的管理方法第三实施例中的另一种实施方式的流程示意图;
图9为本发明静态应用安全测试工具的管理方法的测试工具管理装置的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
具体地,参照图1,图1为本发明静态应用安全测试工具的管理方法实施例方案涉及的硬件运行环境的设备结构示意图。
如图1所示,该设备可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及测试工具管理程序。其中,操作系统是管理和控制设备硬件和软件资源的程序,支持测试工具管理程序以及其它软件或程序的运行;网络通信模块用于管理和控制网络接口1002;用户接口1003主要用于与客户端进行数据通信;网络接口1004主要用于与服务器建立通信连接;而处理器1001可以用于调用存储器1005中存储的测试工具管理程序。
其中,上述存储器1005中存储的测试工具管理程序被处理器执行时实现以下步骤:
基于所述静态应用安全测试系统中预设的标识鉴别机制,对静态应用中当前账号的用户数据进行标识,获取对应的标识数据,并根据所述标识数据确定符合预设身份的测试工具;
基于所述预设身份的测试工具进行安全测试,并根据所述测试工具进行安全测试的可审计事件生成对应的审计记录数据;
基于所述静态应用安全测试系统预设的数据保护功能,对所述静态应用安全测试系统中的资产数据和所述审计记录数据进行数据保护。
进一步地,存储器1005中存储的测试工具管理程序被处理器执行时还实现以下步骤:
基于预设的用户账号登录所述静态应用安全测试系统;
基于所述标识鉴别机制的标识功能,对当前用户账号中的用户数据进行标识,得到标识数据;
基于所述标识鉴别机制的鉴别功能,根据当前用户的标识数据对当前进行访问的测试工具进行身份鉴别,确定符合预设身份的测试工具。
进一步地,存储器1005中存储的测试工具管理程序被处理器执行时还实现以下步骤:
基于预设的鉴别反馈机制,根据所述标识数据进行验证,判断所述测试工具是否符合预设身份,并返回对应的验证信息;
若所述测试工具的验证信息符合预设标准,则所述测试工具为被允许访问的测试工具。
进一步地,存储器1005中存储的测试工具管理程序被处理器执行时还实现以下步骤:
若所述测试工具的验证信息不符合预设标准,则所述测试工具的鉴别身份为不被允许的访问工具;
基于所述静态应用安全测试系统的安全功能对当前账户进行锁定,所述不被允许访问工具禁止对当前账户进行访问;
直到当前账户达到预设的解锁条件,当前账户在解锁后对再次访问的测试工具进行身份鉴别。
进一步地,存储器1005中存储的测试工具管理程序被处理器执行时还实现以下步骤:
获取当前账号预先设定的可审计事件;
提取在所述测试工具进行安全测试过程中的可审计事件,并根据所述测试过程中的可审计事件生成对应的审计记录数据。
进一步地,存储器1005中存储的测试工具管理程序被处理器执行时还实现以下步骤:
基于所述数据保护功能,对所述资产数据进行预设的访问控制,确定所述测试工具进行访问的访问权限,所述审计记录数据与所述访问权限对应;
对所述审计记录数据中对应的测试对象进行脆弱性收集,确定所述测试对象中的脆弱性信息列表;
将所述脆弱性信息列表进行预设方式的存储,实现对当前账户中的数据保护。
进一步地,存储器1005中存储的测试工具管理程序被处理器执行时还实现以下步骤:
在所述静态应用安全测试系统的数据模块之间建立可信工具用于数据传输的可信信道;
基于所述可信信道对所述审计记录数据、资产数据和脆弱性信息列表中的数据进行数据传输,用以实现静态应用安全测试系统中的数据可信传输。
本领域技术人员可以理解,图1中示出的设备结构并不构成对设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
为了更好的理解上述技术方案,下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
基于上述终端设备架构但不限于上述架构,提出本发明安全测试工具的管理方法实施例。
具体地,参照图2,图2为本发明安全测试工具的管理方法第一实施例的流程示意图,所述安全测试工具的管理方法应用于静态应用安全测试系统,包括:
步骤S10,基于所述静态应用安全测试系统中预设的标识鉴别机制,对静态应用中当前账号的用户数据进行标识,获取对应的标识数据,并根据所述标识数据确定符合预设身份的测试工具;
步骤S20,基于所述预设身份的测试工具进行安全测试,并根据所述测试工具进行安全测试的可审计事件生成对应的审计记录数据;
步骤S30,基于所述静态应用安全测试系统预设的数据保护功能,对所述静态应用安全测试系统中的资产数据和所述审计记录数据进行数据保护。
本申请实施例应用于静态应用安全测试系统,通过对当前静态应用安全测试系统中当前用户的用户数据进行标识,确定对应的标识数据,并对进行安全测试数据访问的测试工具进行身份鉴别,确定当前静态应用安全测试系统中进行访问的测试工具为预设身份的测试工具,实现表示与鉴别的目的。再通过上述测试工具进行安全测试,将安全测试对应的测试过程中的可审计事件记录为对应的审计记录数据,实现对测试工具进行安全测试的安全审计目的。最后通过预设的数据保护功能实现上述静态应用安全测试系统中所有数据的传输,用以实现静态应用安全测试系统中所有数据的加密存储和传输保护的功能。
以下将对各个步骤进行详细说明:
步骤S10,基于所述静态应用安全测试系统中预设的标识鉴别机制,对静态应用中当前账号的用户数据进行标识,获取对应的标识数据,并根据所述标识数据确定符合预设身份的测试工具;
在一具体实施例中,静态应用安全测试系统需要先基于其中的标识鉴别机制对静态应用安全测试系统的当前账户进行安全属性确认,并将当前账户与其安全属性进行绑定,具体地,当前账户的身份、组织、角色和完整性等级,等代表当前账户的身份的安全属性,用于对静态应用安全测试系统的当前账户中的数据进行标识。
进一步地,在对当前账户中的数据进行对应标识之后,确认静态应用安全测试系统的当前进行访问的测试工具的访问身份,当该测试工具的访问身份为允许访问测试工具,确定该测试工具为符合预设身份的测试工具。
步骤S20,基于所述预设身份的测试工具进行安全测试,并根据所述测试工具进行安全测试的可审计事件生成对应的审计记录数据;
进一步地,所述基于所述预设身份的测试工具进行安全测试,并根据所述测试工具进行安全测试的可审计事件生成对应的审计记录数据的步骤,包括:
获取当前账号预先设定的可审计事件;
提取在所述测试工具进行安全测试过程中的可审计事件,并根据所述测试过程中的可审计事件生成对应的审计记录数据。
在一具体实施例中,静态应用安全测试系统的安全审计功能包括识别、记录、存储和分析进行安全测试活动的相关信息,通过对审计记录数据进行检查分析,确定在发生对应的安全测试活动时,其对应的活动负责板块中的,每一项可审计事件。
进一步地,进行安全审计的重要数据审计记录数据的产生方式可以是,先开启静态应用安全测试系统的审计功能,获取在静态应用安全测试系统的当前账户中预先规定好的可审计事件,其中,上述可审计事件包括系统登录、用户管理、扫描项目、业务数据处理、系统配置、系统非法操作等审计事件,在上述测试工具进行安全审计的过程中查找可审计事件,生成对应的审计记录数据。
其中,审计记录数据还要记录事件的日期和时间、事件类型、主体身份、事件的结果和审计日志,其中,审计日志包括登录账号、操作时间、IP地址、用户操作及状态。
步骤S30,基于所述静态应用安全测试系统预设的数据保护功能,对所述静态应用安全测试系统中的资产数据和所述审计记录数据进行数据保护。
在一具体实施例中,上述静态应用安全测试系统中的数据保护功能包括用户数据保护安全功能策略、用户数据保护的形式和数据通信保护的安全设计方法。
具体地,用户数据保护安全功能策略是通过子集访问控制和基于安全属性的访问控制实现的,其中,子集访问控制是对当前账号的用户的访问请求执行访问控制策略,即当前账户对静态应用安全测试系统子集种的访问权限受到限制,只能对预设访问策略对应的子集进行访问;基于安全属性的访问控制则是基于代表用户操作的访问请求对系统服务功能执行访问控制策略,测试工具应决定在用户的操作访问请求与系统服务功能之间的操作是否被允许,即用户操作是否在对应的权限白名单内。
进一步地,用户数据保护的形式是通过自己参与信息保护、对脆弱性进行特点收集、文件检测以及机密存储实现的实现的,将对应的安全漏洞和编码规范的质量问题进行确认并及时实现拦截。
进一步地,数据通信保护的安全设计方法则是基于数据的内部传送以及可信工具间的可信通信信道实现的,静态应用安全测试系统中的用户数据通过内部信道在工具各部分之间进行传送应执行信息流控制,以防止用户数据的泄露、篡改、丧失可用性。另外,静态应用安全测试系统的安全功能在它自己和另一个可信IT产品之间提供一条通信信道,在此信道在逻辑上与其他通信信道截然不同,并对其端点进行了有保障的标识,且能保护信道中数据免遭修改或泄露。用户通过浏览器访问系统功能,系统采用HTTPS协议来保护通信过程安全。
参照图3,图3为本本实施例的系统结构示意图。具体地,静态应用安全测试工具的管理系统基于其中的账号安全、加密传输、系统安全、网络安全、机房安全以及网络设备安全的各个模块,构建成TOE安全功能架构,实现了静态应用安全测试工具体系化的数据安全管理。
本实施例通过静态应用安全测试系统中的标识鉴别、安全审计和数据保护三个模块实现了静态应用安全测试工具体系化的管理系统,降低了安全测试过程中测试工具的风险性,提高了进行安全测试时测试效率。
进一步地,基于本申请实施例静态应用安全测试工具的管理方法的第一实施例,提出本申请实施例静态应用安全测试工具的管理方法的第二实施例。
静态应用安全测试工具的管理方法的第二实施例与静态应用安全测试工具的管理方法的第一实施例的区别在于,本实施例是对步骤S10,“基于所述静态应用安全测试系统中预设的标识鉴别机制,对静态应用中当前账号的用户数据进行标识,获取对应的标识数据,并根据所述标识数据确定符合预设身份的测试工具”的细化,参照图4,具体包括:
步骤S11,基于预设的用户账号登录所述静态应用安全测试系统;
步骤S12,基于所述标识鉴别机制的标识功能,对当前用户账号中的用户数据进行标识,得到标识数据;
步骤S13,基于所述标识鉴别机制的鉴别功能,根据当前用户的标识数据对当前进行访问的测试工具进行身份鉴别,确定符合预设身份的测试工具。
本实施例通过静态应用安全测试系统中预设的标识鉴别机制对当前账户中的用户数据进行数据标识,并对当前进行访问的测试工具进行身份鉴别,确定符合预设标准身份的测试工具。
以下将对各个步骤进行详细说明:
步骤S11,基于预设的用户账号登录所述静态应用安全测试系统;
步骤S12,基于所述标识鉴别机制的标识功能,对当前用户账号中的用户数据进行标识,得到标识数据;
步骤S13,基于所述标识鉴别机制的鉴别功能,根据当前用户的标识数据对当前进行访问的测试工具进行身份鉴别,确定符合预设身份的测试工具。
在一具体实施例中,对当前账户中的数据进行标识,在允许执行代表该账户用户的任何其他由安全功能促成动作之前,如系统数据的增删改查等,静态应用安全测试工具应要求用户身份已被成功标识和识别,这则表示当前账户的用户属性已预先被定义,其中,用户属性包括用户标识、用户团队、用户角色、账号状态和账号有效期。
进一步地,参照图5,步骤S13具体包括:
步骤S131,基于预设的鉴别反馈机制,根据所述标识数据进行验证,判断所述测试工具是否符合预设身份,并返回对应的验证信息;
步骤S132,若所述测试工具的验证信息符合预设标准,则所述测试工具为被允许访问的测试工具。
在一具体实施例中,对当前账户进行安全测试的测试工具在被被鉴别前,静态应用安全测试系统的测试工具应允许执行代表用户获取登录验证码,且在运行执行代表该用户的任何其他由安全功能促成的动作前,测试工具应要求每个用户的身份都已被成功鉴别,确保当前用户被允许访问工具的数据。
进一步地,在鉴别时,静态应用安全测试工具安全功能应仅向用户提供具体的反馈信息,在修改部分数据时需要再次输入密码进行二次验证,静态应用安全测试系统提供一种验证机制以实现测试工具可以满足预设的质量度量要求,具体地,质量度量要求可定义为用户密码由8~20位字母数字特殊字符组成,并至少包含两种以上的组合方式。
进一步地,参照图6,在对当前访问的测试工具进行身份识别后,所述方法还包括:
步骤S141,若所述测试工具的验证信息不符合预设标准,则所述测试工具的鉴别身份为不被允许的访问工具;
步骤S142,基于所述静态应用安全测试系统的安全功能对当前账户进行锁定,所述不被允许访问工具禁止对当前账户进行访问;
步骤S143,直到当前账户达到预设的解锁条件,当前账户在解锁后对再次访问的测试工具进行身份鉴别。
在一具体实施例中,对静态应用安全测试系统进行访问的测试工具在设计数据安全保护的安全功能是应能检测与鉴别信息输入错误的未成功鉴别尝试次数时,静态应用安全测试工具的安全功能应采取锁定账户的操作。并未账户解锁设定一定的条件,如运行系统管理员进行解锁操作或超过24小时自动解锁等。
本实施例通过标识鉴别机制对静态应用安全测试系统对当前账户进行安全属性确认,标识其中的用户数据,并对测试工具进行身份鉴别,保障了测试工具的安全性。
进一步地,基于本申请实施例静态应用安全测试工具的管理方法第一实施例和第二实施例,提出本申请实施例静态应用安全测试工具的管理方法的第三实施例。
静态应用安全测试工具的管理方法的第三实施例与安全测试工具的管理方法的第一、第二、第三实施例的区别在于,本实施例是对步骤S30“基于所述静态应用安全测试系统预设的数据保护功能,对所述静态应用安全测试系统中的资产数据和所述审计记录数据进行数据保护”的细化,参照图7,具体包括:
步骤S31,基于所述数据保护功能,对所述资产数据进行预设的访问控制,确定所述测试工具进行访问的访问权限,所述审计记录数据与所述访问权限对应;
步骤S32,对所述审计记录数据中对应的测试对象进行脆弱性收集,确定所述测试对象中的脆弱性信息列表;
步骤S33,将所述脆弱性信息列表进行预设方式的存储,实现对当前账户中的数据保护。
以下将对各个步骤进行详细说明:
步骤S31,基于所述数据保护功能,对所述资产数据进行预设的访问控制,确定所述测试工具进行访问的访问权限,所述审计记录数据与所述访问权限对应;
步骤S32,对所述审计记录数据中对应的测试对象进行脆弱性收集,确定所述测试对象中的脆弱性信息列表;
步骤S33,将所述脆弱性信息列表进行预设方式的存储,实现对当前账户中的数据保护。
需要进行具体解释的是,在本实施例中,上述审计记录数据获取被测对象的脆弱性信息应包含数据处理类安全缺陷(SQL注入等)、安全功能类安全缺陷(弱加密等)、异常错误类安全缺陷(空的Catch块等)、资源使用类安全缺陷(内存泄露等)、环境类安全缺陷(遗留调试代码等),且收集到的脆弱性信息应具体包含的源代码安全缺陷列表中所列出的安全缺陷类型。
具体地,上述源代码安全缺陷列表中所列出的安全缺陷类型可以是数据处理、安全功能、异常与错误、API误用、格式与规范、信息封装、资源使用和环境配置。其中,例如,数据处理类的安全缺陷类型是由于应用程序对输入数据和输出数据处理不正确或不完整而引发的安全缺陷,具体表现为:缓冲区溢出、SQL注入、跨站脚本攻击等;安全功能类的安全缺陷类型是软件安全功能如身份鉴别、访问控制、机密性、密码学和特权管理等处理不当相关的安全缺陷,具体表现为访问控制、弱加密、硬编码密码等。
进一步地,实现脆弱性收集的方式包括以下步骤:1、通过测试分析获取被测对象的脆弱性分析;2、分析相关信息或配置,识别脆弱性信息列表的脆弱性信息,并提供相应的安全性建议;3、根据用户设置的策略生成相应测试分析报告;4、允许已标识的授权角色对测试分析结果进行查询、查看、审计、删除、导出;5、防止对测试分析报告进行修改;6、提供被测对象安全缺陷所在位置的具体信息。
通过上述脆弱性信息的安全缺陷类型分类收集对应的脆弱性信息,在通过扩展族-存储的数据机密性存储方式将脆弱性信息列表存储于指定区域,实行数据保护。
进一步地,参照图8,所述方法“基于预设的数据保护功能,实现数据的传输”的步骤,还包括:
步骤S301,在所述静态应用安全测试系统的数据模块之间建立可信工具用于数据传输的可信信道;
步骤S302,基于所述可信信道对所述审计记录数据、资产数据和脆弱性信息列表中的数据进行数据传输,用以实现静态应用安全测试系统中的数据可信传输。
需要进行具体解释的是,在本实施例中,上述可信信道在本地和远程对应的用户之间提供一条通信路径,该通信信道在逻辑上与其他通信路径截然不同,并对其端点进行了有保障的标识,并能保护通信数据免遭修改和泄露提升了数据传输信道的安全可靠性,并升级了数据传输信道的安全性。
此外,本发明实施例还提出一种测试工具管理装置,参照图9,图9为本发明安全测试工具的管理方法实施例方案涉及的测试工具管理装置的功能模块示意图。如图9所示,所述测试工具管理装置包括:
身份鉴别模块10,用于基于静态应用安全测试系统中预设的标识鉴别机制,对静态应用中当前账号的用户数据进行标识,并确定身份鉴别后符合预设身份的测试工具;
安全审计模块20,用于基于所述预设身份的测试工具进行安全测试,并根据所述测试工具进行安全测试的可审计事件生成对应的审计记录数据;
数据保护模块30,用于基于所述静态应用安全测试系统预设的数据保护功能,对所述静态应用安全测试系统中的资产数据和所述审计记录数据进行数据保护。
本实施例实现本方案的原理及实施过程,请参照上述各实施例,在此不再赘述。
此外,本发明实施例还提出一种设备,所述设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的测试工具管理程序,所述测试工具管理程序被所述处理器执行时实现如上述实施例所述的安全测试工具的管理方法的步骤。
此外,为实现上述目的,本发明还提供一种介质,所述介质为计算机可读存储介质,所述计算机可读存储介质上存储有测试工具管理程序,所述测试工具管理程序被处理器执行时实现如上所述的安全测试工具的管理方法的步骤。
由于本测试工具管理程序被处理器执行时,采用了前述所有实施例的全部技术方案,因此至少具有前述所有实施例的全部技术方案所带来的所有有益效果,在此不再一一赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品储存在如上所述的一个储存介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书与附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种静态应用安全测试工具的管理方法,其特征在于,所述方法应用于静态应用安全测试系统,包括:
基于所述静态应用安全测试系统中预设的标识鉴别机制,对静态应用中当前账号的用户数据进行标识,获取对应的标识数据,并根据所述标识数据确定符合预设身份的测试工具;
基于所述预设身份的测试工具进行安全测试,并根据所述测试工具进行安全测试的可审计事件生成对应的审计记录数据;
基于所述静态应用安全测试系统预设的数据保护功能,对所述静态应用安全测试系统中的资产数据和所述审计记录数据进行数据保护。
2.如权利要求1所述的静态应用安全测试工具的管理方法,其特征在于,所述基于所述静态应用安全测试系统中预设的标识鉴别机制,对静态应用中当前账号的用户数据进行标识,获取对应的标识数据,并根据所述标识数据确定符合预设身份的测试工具的步骤,包括:
基于预设的用户账号登录所述静态应用安全测试系统;
基于所述标识鉴别机制的标识功能,对当前用户账号中的用户数据进行标识,得到标识数据;
基于所述标识鉴别机制的鉴别功能,根据当前用户的标识数据对当前进行访问的测试工具进行身份鉴别,确定符合预设身份的测试工具。
3.如权利要求2所述的静态应用安全测试工具的管理方法,其特征在于,所述基于所述标识鉴别机制的鉴别功能,根据当前用户的标识数据对当前进行访问的测试工具进行身份鉴别,确定符合预设身份的测试工具的步骤,包括:
基于预设的鉴别反馈机制,根据所述标识数据进行验证,判断所述测试工具是否符合预设身份,并返回对应的验证信息;
若所述测试工具的验证信息符合预设标准,则所述测试工具为被允许访问的测试工具。
4.如权利要求3所述的静态应用安全测试工具的管理方法,其特征在于,在所述判断所述测试工具是否符合预设身份,并返回对应的验证信息的步骤之后,所述方法还包括:
若所述测试工具的验证信息不符合预设标准,则所述测试工具的鉴别身份为不被允许的访问工具;
基于所述静态应用安全测试系统的安全功能对当前账户进行锁定,所述不被允许访问工具禁止对当前账户进行访问;
直到当前账户达到预设的解锁条件,当前账户在解锁后对再次访问的测试工具进行身份鉴别。
5.如权利要求2所述的静态应用安全测试工具的管理方法,其特征在于,所述基于所述预设身份的测试工具进行安全测试,并根据所述测试工具进行安全测试的可审计事件生成对应的审计记录数据的步骤,包括:
获取当前账号预先设定的可审计事件;
提取在所述测试工具进行安全测试过程中的可审计事件,并根据所述测试过程中的可审计事件生成对应的审计记录数据。
6.如权利要求1所述的静态应用安全测试工具的管理方法,其特征在于,所述基于所述静态应用安全测试系统预设的数据保护功能,对所述静态应用安全测试系统中的资产数据和所述审计记录数据进行数据保护的步骤,包括:
基于所述数据保护功能,对所述资产数据进行预设的访问控制,确定所述测试工具进行访问的访问权限,所述审计记录数据与所述访问权限对应;
对所述审计记录数据中对应的测试对象进行脆弱性收集,确定所述测试对象中的脆弱性信息列表;
将所述脆弱性信息列表进行预设方式的存储,实现对当前账户中的数据保护。
7.如权利要求6所述的静态应用安全测试工具的管理方法,其特征在于,在所述基于所述数据保护功能,对所述资产数据进行预设的访问控制的步骤之前,所述方法还包括:
在所述静态应用安全测试系统的数据模块之间建立可信工具用于数据传输的可信信道;
基于所述可信信道对所述审计记录数据、资产数据和脆弱性信息列表中的数据进行数据传输,用以实现静态应用安全测试系统中的数据可信传输。
8.一种测试工具管理装置,其特征在于,所述测试工具管理装置包括:
身份鉴别模块,用于基于静态应用安全测试系统中预设的标识鉴别机制,对静态应用中当前账号的用户数据进行标识,并确定身份鉴别后符合预设身份的测试工具;
安全审计模块,用于基于所述预设身份的测试工具进行安全测试,并根据所述测试工具进行安全测试的可审计事件生成对应的审计记录数据;
数据保护模块,用于基于所述静态应用安全测试系统预设的数据保护功能,对所述静态应用安全测试系统中的资产数据和所述审计记录数据进行数据保护。
9.一种设备,其特征在于,所述设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的测试工具管理程序,所述测试工具管理程序被所述处理器执行时实现如权利要求1至7中任一项所述的安全测试工具的管理方法。
10.一种介质,所述介质为计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有测试工具管理程序,所述测试工具管理程序被处理器执行时实现如权利要求1至7中任一项所述的安全测试工具的管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211299317.0A CN115618324A (zh) | 2022-10-21 | 2022-10-21 | 静态应用安全测试工具的管理方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211299317.0A CN115618324A (zh) | 2022-10-21 | 2022-10-21 | 静态应用安全测试工具的管理方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115618324A true CN115618324A (zh) | 2023-01-17 |
Family
ID=84864962
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211299317.0A Pending CN115618324A (zh) | 2022-10-21 | 2022-10-21 | 静态应用安全测试工具的管理方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115618324A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117892279A (zh) * | 2024-03-14 | 2024-04-16 | 成都信息工程大学 | 一种用于软件开发的计算机系统加密方法 |
-
2022
- 2022-10-21 CN CN202211299317.0A patent/CN115618324A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117892279A (zh) * | 2024-03-14 | 2024-04-16 | 成都信息工程大学 | 一种用于软件开发的计算机系统加密方法 |
| CN117892279B (zh) * | 2024-03-14 | 2024-05-14 | 成都信息工程大学 | 一种用于软件开发的计算机系统加密方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Felderer et al. | Security testing: A survey | |
| US8219496B2 (en) | Method of and apparatus for ascertaining the status of a data processing environment | |
| US8949995B2 (en) | Certifying server side web applications against security vulnerabilities | |
| US11783016B2 (en) | Computing system and method for verification of access permissions | |
| CN113179271A (zh) | 一种内网安全策略检测方法及装置 | |
| US7930727B1 (en) | System and method for measuring and enforcing security policy compliance for software during the development process of the software | |
| Santos et al. | An empirical study of tactical vulnerabilities | |
| CN114297708A (zh) | 访问控制方法、装置、设备和存储介质 | |
| CN115701019A (zh) | 零信任网络的访问请求处理方法、装置及电子设备 | |
| CN115618324A (zh) | 静态应用安全测试工具的管理方法、装置、设备及介质 | |
| Pannetrat et al. | D2. 1: Security-aware SLA specification language and cloud security dependency model | |
| CN114915477A (zh) | 一种计算机网络的信息安全防护系统 | |
| US20090204544A1 (en) | Activation by trust delegation | |
| CN112422527B (zh) | 变电站电力监控系统的威胁评估系统、方法和装置 | |
| Bertino et al. | Web services threats, vulnerabilities, and countermeasures | |
| KR102338998B1 (ko) | 로그 무결성 검사 및 이를 통한 로그 위변조 행위 증빙 시스템 및 그 방법 | |
| CN112398787B (zh) | 邮箱登录验证的方法、装置、计算机设备及存储介质 | |
| CN113868670A (zh) | 一种漏洞检测流程检验方法及系统 | |
| Al-Kahla et al. | A taxonomy of web security vulnerabilities | |
| Szczepanik et al. | Security of mobile banking applications | |
| KR101425720B1 (ko) | 데이터베이스 보안 관리 방법 | |
| CN117951036B (zh) | 用户识别卡安全检测方法、设备及计算机可读存储介质 | |
| Ashfaq | DEVELOPMENT OF A SECURITY TESTING PROCESS FOR YOCTO LINUX-BASED DISTRIBUTIONS | |
| CN110930234B (zh) | 一种具有远程访问功能的财务管理方法 | |
| Green | An Evaluation of Two Host-Based Vulnerability Scanning Tools |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |