CN116010254A - 一种系统研发阶段的性能检测方法和系统 - Google Patents
一种系统研发阶段的性能检测方法和系统 Download PDFInfo
- Publication number
- CN116010254A CN116010254A CN202211636146.6A CN202211636146A CN116010254A CN 116010254 A CN116010254 A CN 116010254A CN 202211636146 A CN202211636146 A CN 202211636146A CN 116010254 A CN116010254 A CN 116010254A
- Authority
- CN
- China
- Prior art keywords
- detection
- iast
- module
- flow
- test
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明涉及系统研发性能检测技术领域,具体地说,涉及一种系统研发阶段的性能检测方法和系统。其包括以下步骤:采用Jenkins‑Pipeline构建完成自动化流水线,并将将SCA软件成分分析系统集成进Jenkins‑Pipeline流水线,研发人员在云桌面借助Jenkins进行系统研发;开发人员进行系统开发时,触发Jenkins构建;SCA软件成分分析系统用于检测对系统使用的问题组件;通过IAST交互式安全检测系统对内网和外网进行独立测试;使用IAST交互式安全检测系统在应用上线前的测试阶段进行旁路式安全检测。使用IAST交互式安全检测系统在应用上线前的测试阶段进行旁路式安全检测,对测试人员完全无感知,去除额外配置工作,不改变测试人员工作流程,加速代码安全的落地。
Description
技术领域
本发明涉及系统研发性能检测技术领域,具体地说,涉及一种系统研发阶段的性能检测方法和系统。
背景技术
目前信息系统的安全检查和整改工作,由系统开发过程中和上线后两部分组成。系统开发上线后安全检查发现问题,整改需要重走开发、测试和发布流程,业务影响和开发成本消耗极大,且现有的代码层安全检测均为源代码静态检测,导致当前的代码安全检查技术手段不足,因此,设计一种系统研发阶段的性能检测方法和系统,对系统研发阶段进行性能检测,在不改变测试人员工作流程的情况下,加速代码安全的落地。
发明内容
本发明的目的在于提供一种系统研发阶段的性能检测方法和系统,以解决上述背景技术中提出的问题。
为实现上述目的,本发明提供一种系统研发阶段的性能检测方法,包括以下步骤:
S1.1:采用Jenkins-Pipeline构建完成自动化流水线,研发人员在云桌面借助Jenkins进行系统研发;
S1.2:将SCA软件成分分析系统集成进Jenkins-Pipeline流水线,开发人员进行系统开发时,触发Jenkins构建;SCA软件成分分析系统用于检测对系统使用的问题组件;
S1.3:通过IAST交互式安全检测系统对内网和外网进行独立测试;使用IAST交互式安全检测系统在应用上线前的测试阶段进行旁路式安全检测;
S1.4:IAST交互式安全检测系统发送命令行将测试脚本发给Agent,通过Agent获取被测项目的代码数据流、HTTP请求/响应包等信息,并执行安全风险检测,Agent执行测试;
S1.5:对系统安全漏洞修复后写入生产应用服务器,进行入网测评。
作为本技术方案的进一步改进,所述S1.3中,内网测试用于测试应用服务器的并发连接性能,外网测试用于测试互联网导致的应用服务器延时和掉包情况。
本发明目的之二在于,一种用于实现系统研发阶段的性能检测方法所使用的检测系统,所述IAST交互式安全检测系统包括:用于获取被测项目的代码数据流、HTTP请求/响应包等信息,并执行安全风险检测的IAST插桩模块;进行身份验证并复制业务流量到存储中心,在业务访问量集中时产生的高并发情况下可做到有效的负载均衡的IAST代理模块;通过嗅探的方式获取HTTP流量进行安全检测的IAST流量信使模块和IAST流量镜像模块。
作为本技术方案的进一步改进,所述IAST插桩模块为被动式安全测试模块和主动式安全测试模块联动检测,增强漏洞检测的覆盖能力,提高漏洞的检出率。
作为本技术方案的进一步改进,所述IAST代理模块包括:移动端代理模块、PC端代理模块以及接入HTTP和HTTPS流量检测模块;IAST代理模块用于抓取流量自动进行安全测试。
作为本技术方案的进一步改进,所述IAST流量信使模块包括用于对移动端进行流量接入的VPN模块;将流量收集Agent部署到业务服务器上的流量信使模块;其中,流量收集Agent采用嗅探的方式获取HTTP流量,与业务数据链路是旁路关系,不影响业务数据流向。
作为本技术方案的进一步改进,作为在测试机器数量较多时,所述IAST流量镜像模块针对测试环境交换机流量镜像进行接入,将位于交换机源端口的数据流量转发到位于IAST流量镜像模块的镜像端口,IAST流量镜像模块再对HTTP请求还原进行安全检测。
作为本技术方案的进一步改进,所述SCA软件成分分析系统包括:对企业第三方私有组件库进行管理的组件库管理模块;基于文件指纹检测以及依赖分析技术的软件成分管理模块;实效检测代码安全,快速定位风险路径系统管理模块;以及自动聚合同地址任务生成比对信息,实时反馈至SCA云端安全管理平台的项目管理模块。
作为本技术方案的进一步改进,所述SCA软件成分分析系统用于对发阶段的系统进行组件漏洞检测、组件依赖检测、组件开源许可证检测。
与现有技术相比,本发明的有益效果:
1、该一种系统研发阶段的性能检测方法和系统中,使用IAST交互式安全检测系统在应用上线前的测试阶段进行旁路式安全检测,通过IAST交互式安全检测系统对测试阶段的系统进行通用安全漏洞检测、隐私数据泄露检测和逻辑安全漏洞检测,做到对测试人员完全无感知,去除额外配置工作,不改变测试人员工作流程,加速代码安全的落地。
2、该一种系统研发阶段的性能检测方法和系统中,将SCA软件成分安全检测系统集成进Jenkins-pipeline流水线,研发人员提交代码后自动触发检测代码中引用组件安全性;SCA软件成分安全检测系统对研发阶段的系统进行组件漏洞检测、组件依赖检测、组件开源许可证检测;将安全测试左移,尽早的发现、预防问题,以降低修复问题的成本,帮助研发人员定位问题并提供解决方案,便于开发人员及时修复组件,提高研发工程质量。
附图说明
图1为实施例的系统研发阶段的性能检测方法流程框图;
图2为实施例的系统性能检测单元的组成框图。
图中各个标号意义为:
1、系统性能检测单元;
2、IAST插桩模块;3、IAST代理模块;4、IAST流量信使模块;5、IAST流量镜像模块;6、组件库管理模块;7、项目管理模块;8、软件成分管理模块;9、系统管理模块。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例
本发明目的之一在于:一种系统研发阶段的性能检测方法,包括以下步骤:
S1.1:采用Jenkins-Pipeline构建完成自动化流水线,研发人员在云桌面借助Jenkins进行系统研发;
S1.2:将SCA软件成分分析系统集成进Jenkins-Pipeline流水线,开发人员进行系统开发时,触发Jenkins构建;通过SCA软件成分分析系统用于检测对系统使用的问题组件;Pipeline是一套运行在Jenkins上的工作流框架,将原来独立运行于单个或者多个节点的任务连接起来,实现单个任务难以完成的复杂流程编排和可视化的工作,Pipeline可以很方便实现流水式的持续交付;Jenkins配置码云自动部署的目标是在指定分支上进行Push到远程库的时候能够触发Jenkins的构建,然后实现自动化流水线上线;当研发人员提交代码后自动触发检测代码中引用组件的安全性。由Jenkins完成Sonarqube代码质量检测、源代码审计系统和SCA组件成分分析。
S1.3:通过IAST交互式安全检测系统对内网和外网进行独立测试;使用IAST交互式安全检测系统在应用上线前的测试阶段进行旁路式安全检测;旁路式安全检测对测试人员完全无感知,去除额外配置工作,完全不改变测试人员工作流程,采用IAST交互式应用安全检测系统对测试阶段的系统进行通用安全漏洞检测、隐私数据泄露检测和逻辑安全漏洞检测,内网测试用于测试应用服务器的并发连接性能,外网测试用于测试互联网导致的应用服务器延时和掉包情况。
S1.4:IAST交互式安全检测系统发送命令行将测试脚本发给Agent,通过Agent获取被测项目的代码数据流、HTTP请求/响应包等信息,并执行安全风险检测,Agent执行测试;通过IAST交互式安全检测系统对测试应用服务器的功能、性能进行出厂测试。
S1.5:对系统安全漏洞修复后写入生产应用服务器,进行入网测评;信息系统在接入互联网之前,通过第三方进行网络安全风险评估,提前确定系统的网络安全漏洞情况,是否存在高中威胁,是否符合入网安全评估的测评标准以及网络安全等级保护测评的标准,为系统是否可以正式开始进行运作提供参考依据。
本发明目的之二在于:一种用于实现系统研发阶段的性能检测方法所使用的检测系统,IAST交互式安全检测系统包括:用于获取被测项目的代码数据流、HTTP请求/响应包等信息,并执行安全风险检测的IAST插桩模块2;进行身份验证并复制业务流量到存储中心,在业务访问量集中时产生的高并发情况下可做到有效的负载均衡的IAST代理模块3;通过嗅探的方式获取HTTP流量进行安全检测的IAST流量信使模块4和IAST流量镜像模块5。
IAST插桩模块2为被动式安全测试模块和主动式安全测试模块联动检测,增强漏洞检测的覆盖能力,提高漏洞的检出率。被动式安全测试模块在WebServer中部署Agent探针,利用插桩技术对字节码程序注入跟踪代码形成插桩字节码,在程序运行时直接获取数据流并收集相关信息,自动发现场景下的API,并通过动态污点技术DTA来检测应用程序和API的安全风险,并向IAST控制台同步所有的检测结果信息,在IAST控制台完成数据展示和交互;主动式安全测试为被动式安全测试的补充检测模式,与被动式IAST一样,均需通过Agent获取到的目标代码并修改字节码的方式在程序目标码的确定函数执行点。在确定函数输入点后,需要扫描器主动对输入点替换成不同漏洞类型的PayloadHttp Request,进行攻击测试。
IAST代理模块3包括:移动端代理模块、PC端代理模块以及接入HTTP和HTTPS流量检测模块;IAST代理模块3用于抓取流量自动进行安全测试。PC端代理模块支持浏览器插件设置代理,通过一键挂/取消代理带来便捷;移动端代理模块通过网络设置或者第三方软件,接入HTTP和HTTPS流量进行安全测试;开发测试人员挂代理之后,只需要正常进行功能测试,IAST代理模块3是利用网关代理技术、集群化的功能模块。进行身份验证并复制业务流量到存储中心,集群化的代理模式在业务访问量集中时产生的高并发情况下可做到有效的负载均衡。可自调度集群代理,处理来自客户端的请求,转发至存储中心。
IAST流量信使模块4包括用于对移动端进行流量接入的VPN模块;将流量收集Agent部署到业务服务器上的流量信使模块;其中,流量收集Agent采用嗅探的方式获取HTTP流量,与业务数据链路是旁路关系,不影响业务数据流向。移动端通过自带的VPN功能,将VPN拨到的IP上即可接入HTTP和HTTPS流量,同时也可自行安装第三方VPN软件来简化操作。对用户来说完全透明,开发测试人员拨VPN之后,只需要正常进行功能测试,通过IAST代理模块3抓取流量自动进行安全测试。针对PC端和移动端测试环境复杂的情况,流量信使模块将流量收集Agent部署到业务服务器上,通过嗅探的方式获取HTTP流量进行安全检测,做到对测试人员无感知,去除额外配置工作,且不改变测试人员工作流程。
在测试机器数量较多时,IAST流量镜像模块5针对测试环境交换机流量镜像进行接入,将位于交换机源端口的数据流量转发到位于IAST流量镜像模块5的镜像端口,IAST流量镜像模块5再对HTTP请求还原进行安全检测。
SCA软件成分分析系统包括:对企业第三方私有组件库进行管理的组件库管理模块6;基于文件指纹检测以及依赖分析技术的软件成分管理模块8;实效检测代码安全,快速定位风险路径系统管理模块9;自动聚合同地址或同标签任务生成比对信息,实时反馈至SCA云端安全管理平台的项目管理模块7;
其中,组件库管理模块6是由SCA支持Nexus、Artifactory私库检测,支持配置定时检测以在不同时段进行仓库软件成分安全检测,详情展示均为单个组件库最新检测的数据;
其次,软件成分管理模块8是基于文件指纹检测以及依赖分析技术,分析获取项目中所有引用到的第三方组件,将软件成分数据回传到服务端,软件成分风险分析引擎,对第三方组件的版本风险,安全漏洞分析,开源许可证风险进行评估,并可视化展示;
进一步的,系统管理模块9由SCA提供Eclipse插件、IDEA插件实效检测代码安全,快速定位风险路径,将安全测试左移,尽早的发现、预防问题,以降低修复问题的成本,提高研发工程质量;
项目管理模块7由SCA支持通过本地上传文件检测,支持SVN/GIT/TFS/Mercurial等代码仓库获取第三方组件进行检测,支持对代码仓库中的组件进行定时的安全体检,并自动聚合同地址或同标签任务生成比对信息,实时反馈至SCA云端安全管理平台,帮助研发人员定位问题并提供解决方案,便于开发人员及时修复组件。
SCA软件成分分析系统用于对发阶段的系统进行组件漏洞检测、组件依赖检测、组件开源许可证检测,研发人员提交代码后自动触发检测代码中引用组件安全性;SCA软件成分分析系统与IAST交互式安全检测系统共同构成用于对系统性能检测的系统性能检测单元1,在研发人员提交代码后自动触发检测代码中引用组件安全性,同时在应用上线前的测试阶段实现旁路式安全检测。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的仅为本发明的优选例,并不用来限制本发明,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (9)
1.一种系统研发阶段的性能检测方法,其特征在于,包括以下步骤:
S1.1:采用Jenkins-Pipeline构建自动化流水线,研发人员在云桌面借助Jenkins进行系统研发;
S1.2:将SCA软件成分分析系统集成进Jenkins-Pipeline流水线,开发人员进行系统开发时,触发Jenkins构建;SCA软件成分分析系统用于检测对系统使用的问题组件;
S1.3:通过IAST交互式安全检测系统对内网和外网进行独立测试;使用IAST交互式安全检测系统在应用上线前的测试阶段进行旁路式安全检测;
S1.4:IAST交互式安全检测系统发送命令行将测试脚本发给Agent,通过Agent获取被测项目的代码数据流、HTTP请求/响应包等信息,并执行安全风险检测,Agent执行测试;
S1.5:对系统安全漏洞修复后写入生产应用服务器,进行入网测评。
2.根据权利要求1所述的系统研发阶段的性能检测方法,其特征在于:所述S1.3中,内网测试用于测试应用服务器的并发连接性能,外网测试用于测试互联网导致的应用服务器延时和掉包情况。
3.根据权利要求1-2中任意一项所述的用于实现系统研发阶段的性能检测方法所使用的检测系统,其特征在于:所述IAST交互式安全检测系统包括:用于获取被测项目的代码数据流、HTTP请求/响应包等信息,并执行安全风险检测的IAST插桩模块(2);进行身份验证并复制业务流量到存储中心,在业务访问量集中时产生的高并发情况下可做到有效的负载均衡的IAST代理模块(3);通过嗅探的方式获取HTTP流量进行安全检测的IAST流量信使模块(4)和IAST流量镜像模块(5)。
4.根据权利要求3所述的性能检测系统,其特征在于:所述IAST插桩模块(2)为被动式安全测试模块和主动式安全测试模块联动检测,增强漏洞检测的覆盖能力,提高漏洞的检出率。
5.根据权利要求3所述的性能检测系统,其特征在于:所述IAST代理模块(3)包括:移动端代理模块、PC端代理模块以及接入HTTP和HTTPS流量检测模块;IAST代理模块(3)用于抓取流量自动进行安全测试。
6.根据权利要求3所述的性能检测系统,其特征在于:所述IAST流量信使模块(4)包括用于对移动端进行流量接入的VPN模块;将流量收集Agent部署到业务服务器上的流量信使模块;其中,流量收集Agent采用嗅探的方式获取HTTP流量,且与业务数据链路是旁路关系。
7.根据权利要求3所述的性能检测系统,其特征在于:在测试机器数量较多时,所述IAST流量镜像模块(5)针对测试环境交换机流量镜像进行接入,将位于交换机源端口的数据流量转发到位于IAST流量镜像模块(5)的镜像端口,IAST流量镜像模块(5)再对HTTP请求还原进行安全检测。
8.根据权利要求3所述的性能检测系统,其特征在于:所述SCA软件成分分析系统包括:对企业第三方私有组件库进行管理的组件库管理模块(6);基于文件指纹检测以及依赖分析技术的软件成分管理模块(8);实效检测代码安全,快速定位风险路径系统管理模块(9);以及自动聚合同地址(或同标签)任务生成比对信息,实时反馈至SCA云端安全管理平台的项目管理模块(7)。
9.根据权利要求8所述的性能检测系统,其特征在于:所述SCA软件成分分析系统用于对发阶段的系统进行组件漏洞检测、组件依赖检测、组件开源许可证检测。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211636146.6A CN116010254A (zh) | 2022-12-20 | 2022-12-20 | 一种系统研发阶段的性能检测方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211636146.6A CN116010254A (zh) | 2022-12-20 | 2022-12-20 | 一种系统研发阶段的性能检测方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116010254A true CN116010254A (zh) | 2023-04-25 |
Family
ID=86018578
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211636146.6A Pending CN116010254A (zh) | 2022-12-20 | 2022-12-20 | 一种系统研发阶段的性能检测方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116010254A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116841912A (zh) * | 2023-08-31 | 2023-10-03 | 美云智数科技有限公司 | 应用测试方法、装置、电子设备及计算机可读存储介质 |
-
2022
- 2022-12-20 CN CN202211636146.6A patent/CN116010254A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116841912A (zh) * | 2023-08-31 | 2023-10-03 | 美云智数科技有限公司 | 应用测试方法、装置、电子设备及计算机可读存储介质 |
| CN116841912B (zh) * | 2023-08-31 | 2023-12-29 | 美云智数科技有限公司 | 应用测试方法、装置、电子设备及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108595329B (zh) | 一种应用测试方法、装置及计算机存储介质 | |
| US20160357663A1 (en) | Software defect reporting | |
| CN111046386B (zh) | 动态检测程序第三方库并进行安全评估的方法及系统 | |
| CN111859375A (zh) | 漏洞检测方法、装置、电子设备及存储介质 | |
| US10084637B2 (en) | Automatic task tracking | |
| US20190317736A1 (en) | State machine representation of a development environment deployment process | |
| CN113158191B (zh) | 基于智能探针的漏洞验证方法及相关iast方法、系统 | |
| CN113596114B (zh) | 一种可扩展的自动化Web漏洞扫描系统及方法 | |
| CN111813696A (zh) | 应用测试方法、装置、系统及电子设备 | |
| CN108769063A (zh) | 一种自动化检测WebLogic已知漏洞的方法及装置 | |
| CN106991046A (zh) | 应用测试方法及装置 | |
| CN111654495B (zh) | 用于确定流量产生来源的方法、装置、设备及存储介质 | |
| CN116010254A (zh) | 一种系统研发阶段的性能检测方法和系统 | |
| CN114003794A (zh) | 资产收集方法、装置、电子设备和介质 | |
| CN108009085B (zh) | 渠道包测试方法 | |
| CN106991045A (zh) | 页面校验方法及装置 | |
| CN109120432A (zh) | 一种故障服务器定位方法及装置 | |
| CN115705190A (zh) | 依赖程度的确定方法及装置 | |
| CN116450533B (zh) | 用于应用程序的安全检测方法、装置、电子设备和介质 | |
| CN110134558B (zh) | 一种服务器的检测方法和装置 | |
| Marinho et al. | Evaluating testing strategies for resource related failures in mobile applications | |
| CN108959931B (zh) | 漏洞检测方法及装置、信息交互方法及设备 | |
| US10394534B2 (en) | Framework for flexible logging of development environment deployment | |
| CN113127884A (zh) | 一种基于虚拟化的漏洞并行验证方法及装置 | |
| CN115080977B (zh) | 一种安全漏洞防御方法、系统、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |