CN117574368A - 离线静态代码分析与云端解析漏洞扫描报告结合的方法 - Google Patents
离线静态代码分析与云端解析漏洞扫描报告结合的方法 Download PDFInfo
- Publication number
- CN117574368A CN117574368A CN202311560440.8A CN202311560440A CN117574368A CN 117574368 A CN117574368 A CN 117574368A CN 202311560440 A CN202311560440 A CN 202311560440A CN 117574368 A CN117574368 A CN 117574368A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- cloud
- information
- vulnerability scanning
- scanning report
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 42
- 238000000034 method Methods 0.000 title claims abstract description 37
- 230000003068 static effect Effects 0.000 title claims abstract description 28
- 238000013475 authorization Methods 0.000 claims abstract description 57
- 238000013507 mapping Methods 0.000 claims description 19
- 238000004806 packaging method and process Methods 0.000 claims description 3
- 238000005336 cracking Methods 0.000 abstract description 6
- 238000012795 verification Methods 0.000 abstract description 5
- 238000004590 computer program Methods 0.000 description 5
- 239000012634 fragment Substances 0.000 description 3
- 150000003839 salts Chemical class 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 101100127184 Culex quinquefasciatus ken1 gene Proteins 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012038 vulnerability analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种离线静态代码分析与云端解析漏洞扫描报告结合的方法,包括:客户端从云端获取离线扫描工具,离线扫描工具包含用户授权信息;利用离线扫描工具在客户端扫描提交的源代码,生成漏洞扫描报告,漏洞扫描报告包括源代码总行数和漏洞列表;根据漏洞扫描报告和用户授权信息生成带签名信息的漏洞扫描报告上传至云端;云端根据用户授权信息和签名信息确定漏洞扫描报告的合法性;云端确定是否已支付满足源代码总行数的费用;云端根据漏洞列表在云端漏洞库中进行检索得到详细的漏洞信息,结合上传的扫描报告中的内容生成最终的漏洞扫描报告。本申请在有效解决用户源代码安全问题的同时,做到了根据源代码总行数进行计费和防止用户篡改、破解授权信息或通过修改服务器时间使授权验证失效等问题。
Description
技术领域
本申请涉及漏洞扫描报告解析技术领域,尤其涉及离线静态代码分析与云端解析漏洞扫描报告结合的方法。
背景技术
静态代码分析又称为静态程序分析,是一种不运行程序的方式下,通过词法分析、语法分析等技术对静态代码进行分析,验证代码是否满足规范性、安全性等指标的一种代码分析技术。利用静态代码分析技术分析源代码中的安全漏洞和编码规范等问题我们称为静态代码分析工具或扫描工具。
一些静态代码扫描工具厂商(以下简称厂商)采用基于浏览器/服务器架构的云平台系统对用户上传的源代码进行安全漏洞或编码规范问题分析,以便于根据统计的源代码行数进行计费和实施对用户进行有效授权管理,但用户需要将源代码上传至云平台进行分析,然而用户可能担心敏感代码被泄露或滥用。所以有部分厂商采用基于客户端/服务器架构的静态代码分析工具,让用户能够在本地电脑或服务器上传源代码进行代码安全漏洞分析,这样虽然能够有效解决用户源代码安全问题,但无法做到根据源代码总行数进行计费和无法防止用户篡改和破解授权许可文件或通过修改服务器时间使授权许可验证失效等问题。
发明内容
本申请的目的在于提供一种离线静态代码分析与云端解析漏洞扫描报告结合的方法、电子设备及计算机可读存储介质,既能够解决用户源代码安全问题,又能够根据扫描的源代码总行数进行计费,还能够防止用户篡改和破解用户授权许可文件或通过修改服务器时间使授权验证失效等问题。
为了实现上述目的,本申请提供了一种离线静态代码分析与云端解析漏洞扫描报告结合的方法,包括:
客户端从云端获取离线扫描工具,所述离线扫描工具包含加密的用户授权许可文件;
利用所述离线扫描工具在所述客户端扫描提交的源代码,生成漏洞扫描报告,所述漏洞扫描报告包括源代码总行数和漏洞列表;
根据所述加密的用户授权许可文件解密后得到用户授权信息;
根据所述漏洞扫描报告和所述用户授权信息生成带签名信息的所述漏洞扫描报告上传至所述云端;
所述云端根据所述用户授权信息和所述签名信息确定所述漏洞扫描报告的合法性;
在确定所述漏洞扫描报告的合法性后,所述云端确定是否已支付满足所述源代码总行数的费用;
在确定已支付满足所述源代码总行数的费用后,所述云端根据所述漏洞列表在云端漏洞库中进行检索得到对应的漏洞信息;
所述云端将所述漏洞扫描报告的内容和从所述云端漏洞库中检索到的漏洞信息进行结合得到最终的漏洞扫描报告。
可选地,所述客户端从云端获取离线扫描工具,包括:
所述客户端从所述云端下载软件包并运行软件包以获取所述客户端的MAC地址,并获取用户信息和购买的代码扫描行数信息;
所述客户端将所述用户信息、所述购买的代码扫描行数信息和所述MAC地址发送给所述云端;
所述云端根据所述用户信息、所述购买的代码扫描行数信息和所述MAC地址生成订单并将支付信息发送给所述客户端;
所述客户端根据所述支付信息进行支付;
所述云端根据支付成功的订单信息生成所述加密的用户授权许可文件,并将包含所述加密的用户授权许可文件的所述离线扫描工具发送给所述客户端。
可选地,所述生成带签名信息的所述漏洞扫描报告,包括:
基于所述漏洞扫描报告生成漏洞扫描报告字符串,将所述漏洞扫描报告字符串和所述用户授权信息的多个信息封装到一个映射表中,所述映射表存有各信息的键名和键值;
根据所述映射表中的键名和键值,生成签名信息;
基于所述漏洞扫描报告和所述签名信息生成带所述签名信息的所述漏洞扫描报告。
可选地,所述生成签名信息,包括:
将所述映射表中的键名存入列表中,并对所述列表中的键名进行排序;
将所述列表中的键名与所述映射表中对应的键值进行拼接生成键值对;
将各键值对进行拼接,得到待加密字符串;
对所述待加密字符串进行加密得到所述签名信息。
可选地,所述基于所述漏洞扫描报告生成漏洞扫描报告字符串,包括:
根据所述漏洞扫描报告的总行数获取所述漏洞扫描报告的中间值;
以所述漏洞扫描报告的中间值为起点到所述漏洞扫描报告的最后一行取中间值;
以最新取得的中间值作为起点到所述漏洞扫描报告的最后一行取中间值,并重复多次以得到多个中间值;
对得到的所有中间值分别连续取至少部分字符;
将从所有中间值取到的字符拼接成一个字符串。
可选地,所述根据所述用户授权信息和所述签名信息确定所述漏洞扫描报告的合法性,包括:
验证所述用户授权信息是否合法,所述用户授权信息合法包括处于有效期内、所述用户授权信息没有被恶意篡改;
若所述用户授权信息合法,则通过所述签名信息验证所述漏洞扫描报告的合法性。
为了实现上述目的,本申请还提供了一种电子设备,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行如上所述的的离线静态代码分析与云端解析漏洞扫描报告结合的方法。
为了实现上述目的,本申请还公开了一种计算机可读存储介质,其上存储有程序,所述程序被处理器执行时实现如上所述的离线静态代码分析与云端解析漏洞扫描报告结合的方法。本申请还提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该电子设备执行上述离线静态代码分析与云端解析漏洞扫描报告结合的方法。
本申请通过客户端从云端获取包括用户授权信息的离线扫描工具,利用离线扫描工具在客户端扫描提交的源代码以生成包括源代码总行数和漏洞列表的漏洞扫描报告,根据漏洞扫描报告和用户授权信息生成带签名信息的漏洞扫描报告上传至云端,云端根据用户授权信息和签名信息确定漏洞扫描报告的合法性,确定漏洞扫描报告的合法性后,确定是否已支付满足源代码总行数的费用,在确定已支付满足源代码总行数的费用后,根据漏洞列表在云端漏洞库中进行检索得到对应的漏洞信息,将漏洞扫描报告的内容和从云端漏洞库中检索到的漏洞信息进行结合得到最终的漏洞扫描报告。由此,本申请在有效解决用户源代码安全问题的同时,做到了根据源代码总行数进行计费和防止用户篡改、破解用户授权信息或通过修改服务器时间使授权验证失效等问题。
附图说明
图1为本申请实施例离线静态代码分析与云端解析漏洞扫描报告结合的方法的流程图。
图2为本申请实施例客户端从云端获取离线扫描工具的流程图。
图3为本申请实施例生成带签名信息的漏洞扫描报告的流程图。
图4为本申请实施例基于漏洞扫描报告生成漏洞扫描报告字符串的流程图。
图5为本申请实施例根据映射表中的键名和键值生成签名信息的流程图。
图6为本申请实施例电子设备的示意框图。
具体实施方式
为了详细说明本申请的技术内容、构造特征、所实现目的及效果,以下结合实施方式并配合附图详予说明。
实施例一
请参阅图1至图5,本申请公开了一种离线静态代码分析与云端解析漏洞扫描报告结合的方法,包括:
S1、客户端从云端获取离线扫描工具,离线扫描工具包含加密的用户授权许可文件。客户端可以是电脑或服务器等。
具体地,加密的用户授权许可文件中包括用户序列号、MAC地址、最大并发数和盐值等。
请参阅图2,具体地,客户端从云端获取离线扫描工具,包括:
S11、客户端从云端下载软件包并运行软件包以获取客户端的MAC地址,并获取用户信息和购买的代码扫描行数信息。
具体地,用户可以在云端的产品购买界面输入用户信息和购买的代码扫描行数。
S12、客户端将用户信息、购买的代码扫描行数信息和MAC地址发送给云端。
S13、云端根据用户信息、购买的代码扫描行数信息和MAC地址生成订单并将支付信息发送给客户端。
S14、客户端根据支付信息进行支付。
S15、云端根据支付成功的信息生成用户授权许可文件,并将包含加密的用户授权许可文件的离线扫描工具发送给客户端。
具体地,在用户支付成功并生成用户授权许可文件后,可以直接将包含用户授权许可文件的离线扫描工具发送给客户端,也可以根据用户进一步的下载指令将包含用户授权许可文件的离线扫描工具发送给客户端。
S2、利用离线扫描工具在客户端扫描提交的源代码,生成漏洞扫描报告,漏洞扫描报告包括源代码总行数和漏洞列表。漏洞扫描报告可以为XML格式或其他格式。
源代码可从本地或SVN、Git等代码版本控制服务器获取。
在扫描时,离线扫描工具扫描源代码时不会对云端发送源代码信息。
具体地,漏洞列表包括漏洞编号、漏洞所在行数、漏洞文件路径和漏洞代码片段等信息。
由于漏洞代码片段为出现漏洞的代码片段,可以确保用户的代码安全。
具体地,漏洞扫描报告还包括源码路径、漏洞总数和扫描报告签名等节点信息。
具体地,在离线扫描工具扫描源代码成功后才生成漏洞扫描报告。若扫描源代码失败,则通过离线扫描工具提示用户扫描失败。
S3、根据加密的用户授权许可文件解密后得到用户授权信息;
S4、根据漏洞扫描报告和用户授权信息生成带签名信息的漏洞扫描报告上传至云端。
请参阅图3,具体地,生成带签名信息的漏洞扫描报告,包括:
S41、基于漏洞扫描报告生成漏洞扫描报告字符串,将漏洞扫描报告字符串和用户授权信息的多个信息封装到一个映射表中。映射表存有各信息的键名和键值,每一个键名只对应一个键值(此一一对应关系称为键值对),即映射表是存有多个键名和键值的双射关系的集合。
具体地,映射表可利用HashMap实现。
需要注意的是,用户授权信息的多个信息并非指其全部信息,具体地,可以包括:用户序列号、MAC地址、最大并发数、盐值等。映射表存有的各信息可以包括用户授权信息中的用户序列号、MAC地址、最大并发数、盐值和漏洞扫描报告字符串。
请参阅图4,具体地,基于漏洞扫描报告生成漏洞扫描报告字符串,包括:
S411、根据漏洞扫描报告的总行数获取漏洞扫描报告的中间值(中间行)。
S412、以漏洞扫描报告的中间值为起点到漏洞扫描报告的最后一行取中间值。
S413、以最新取得的中间值作为起点到漏洞扫描报告的最后一行取中间值,并重复多次以得到多个中间值。
S414、对得到的所有中间值分别连续取至少部分字符,比如,可以取中间值的前20位字符,对于不满20位字符的中间值,即意味着取全部字符。
可以理解的是,本申请并不限制为在所有中间值都得到之后,再分别连续取至少部分字符。比如,也可以在每得到一个中间值时即对该中间值进行取字符操作。
S415、将从所有中间值取到的字符拼接成一个字符串,即得到漏洞报告字符串。
S42、根据映射表中的键名和键值,生成签名信息。
请参阅图5,签名信息生成方法包括:
S421、将映射表中的键名存入列表中,并对列表中的键名进行排序。排序可以根据键名进行升序排序,但不限为此。
具体地,列表可采用List对象实现,排序可采用JDK中的Collections.sort(List)方法对列表中的字符进行排序。
S422、将列表中的键名与映射表中对应的键值进行拼接生成键值对。
具体地,拼接方法可采用“=”作为键名和键值的连接符,如key1=16,key2=HelloWorld的“=”符号连接了键名key1和键值16,键名key2和键值HelloWorld。
S423、将各键值对进行拼接,得到待加密字符串。
具体地,可以将“&”作为不同分割符将不同键值对分开,如key1=16&key2=HelloWorld的“&”符号连接了key1=16和key2=HelloWorld两个键值对。
S424、对待加密字符串进行加密得到签名信息。
具体地,加密方法可采用SHA256加密算法。
该方法通过动态生成加密信息,防止了用户篡改和破解授权许可文件或通过修改服务器时间,使授权许可验证失效等情况发生。
S43、基于漏洞扫描报告和签名信息生成带签名信息的漏洞扫描报告。
S5、云端根据用户授权信息和签名信息确定漏洞扫描报告的合法性。
具体地,根据用户授权信息和签名信息确定漏洞扫描报告的合法性,包括:
验证用户授权信息是否合法,用户授权信息合法包括处于有效期内、用户授权信息没有被恶意篡改;
若用户授权信息合法,则通过签名信息验证漏洞扫描报告的合法性。
具体地,若用户授权信息不合法,则提示用户授权信息验证失败,并提示失败原因。
具体地,如果漏洞扫描报告不合法,则提示漏洞扫描报告非法的错误。
S6、在确定漏洞扫描报告的合法性后,云端确定是否已支付满足源代码总行数的费用。
具体地,用户可以事先购买一定的代码扫描行数。这种情况下,云端确定是否已支付满足源代码总行数的费用,可以包括:
云端检查源代码总行数是否超过购买的代码扫描行数;
如果未超过购买的代码扫描行数,则扣除对应的行数,并确定已支付满足源代码总行数的费用;
如果已超过购买的代码扫描行数,则提示购买,在用户购买后,则确定已支付满足源代码总行数的费用。
当然,云端确定是否已支付满足源代码总行数的费用,还可以包括其他方式,比如:
根据源代码的总行数计算本次漏洞扫描服务的费用总额并生成订单信息,发送至客户端,客户端显示缴费界面,用户在缴费界面直接进行缴费,云端根据实时缴费情况,确定是否已支付满足源代码总行数的费用。
S7、在确定已支付满足源代码总行数的费用后,根据漏洞列表在云端漏洞库中进行检索得到对应的漏洞信息。
S8、云端将漏洞扫描报告的内容和从云端漏洞库中检索到的漏洞信息进行结合得到最终的漏洞扫描报告。
具体地,在得到最终漏洞扫描报告的同时,云端将漏洞扫描报告中的代码行数计入已扫描代码行数信息并存储。同时,客户端可以通过云端界面查看最终的漏洞扫描报告,也可以通过云端界面的下载功能,下载最终的漏洞扫描报告。
本申请中,通过客户端从云端下载离线扫描工具,离线扫描工具包含用户授权信息,利用离线扫描工具在客户端扫描提交的源代码,生成漏洞扫描报告,漏洞扫描报告包括源代码总行数和漏洞列表,根据漏洞扫描报告和用户授权信息生成带签名信息的漏洞扫描报告上传至云端,云端根据用户授权信息和签名信息确定漏洞扫描报告的合法性,确定漏洞扫描报告的合法性后,确定是否已支付满足源代码总行数的费用,在确定已支付满足源代码总行数的费用后,根据漏洞列表在云端漏洞库中进行检索得到对应的漏洞信息,将漏洞扫描报告的内容和从云端漏洞库中检索到的漏洞信息进行结合得到最终漏洞扫描报告。本申请在有效解决用户源代码安全问题的同时,做到了根据源代码总行数进行计费和防止用户篡改和破解授权许可文件或通过修改服务器时间使授权许可验证失效等问题。
实施例二
请结合图6,本申请公开了一种电子设备,包括:
处理器20;
存储器30,其中存储有处理器20的可执行指令;
其中,处理器20配置为经由执行可执行指令来执行如实施例一所述的离线静态代码分析与云端解析漏洞扫描报告结合的方法。
实施例三
本申请公开了一种计算机可读存储介质,其上存储有程序,程序被处理器执行时实现如实施例一所述的离线静态代码分析与云端解析漏洞扫描报告结合的方法。
实施例四
本申请实施例公开了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。电子设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该电子设备执行上述离线静态代码分析与云端解析漏洞扫描报告结合的方法。
应当理解,在本申请实施例中,所称处理器可以是中央处理模块(CentralProcessing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application SpecificIntegratedCircuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上所揭露的仅为本申请的较佳实例而已,不能以此来限定本申请之权利范围,因此依本申请权利要求所作的等同变化,均属于本申请所涵盖的范围。
Claims (8)
1.一种离线静态代码分析与云端解析漏洞扫描报告结合的方法,其特征在于,包括:
客户端从云端获取离线扫描工具,所述离线扫描工具包含加密的用户授权许可文件;
利用所述离线扫描工具在所述客户端扫描提交的源代码,生成漏洞扫描报告,所述漏洞扫描报告包括源代码总行数和漏洞列表;
根据所述加密的用户授权许可文件解密后得到用户授权信息;
根据所述漏洞扫描报告和所述用户授权信息生成带签名信息的所述漏洞扫描报告上传至所述云端;
所述云端根据所述用户授权信息和所述签名信息确定所述漏洞扫描报告的合法性;
在确定所述漏洞扫描报告的合法性后,所述云端确定是否已支付满足所述源代码总行数的费用;
在确定已支付满足所述源代码总行数的费用后,所述云端根据所述漏洞列表在云端漏洞库中进行检索得到对应的漏洞信息;
所述云端将所述漏洞扫描报告的内容和从所述云端漏洞库中检索到的漏洞信息进行结合得到最终的漏洞扫描报告。
2.如权利要求1所述的离线静态代码分析与离线静态代码分析与云端解析漏洞扫描报告结合的方法,其特征在于,
所述客户端从云端获取离线扫描工具,包括:
所述客户端从所述云端下载软件包并运行软件包以获取所述客户端的MAC地址,并获取用户信息和购买的代码扫描行数信息;
所述客户端将所述用户信息、所述购买的代码扫描行数信息和所述MAC地址发送给所述云端;
所述云端根据所述用户信息、所述购买的代码扫描行数信息和所述MAC地址生成订单并将支付信息发送给所述客户端;
所述客户端根据所述支付信息进行支付;
所述云端根据支付成功的信息生成所述加密的用户授权许可文件,并将包含所述加密的用户授权许可文件的所述离线扫描工具发送给所述客户端。
3.如权利要求1所述的离线静态代码分析与云端解析漏洞扫描报告结合的方法,其特征在于,所述生成带签名信息的所述漏洞扫描报告,包括:
基于所述漏洞扫描报告生成漏洞扫描报告字符串,将所述漏洞扫描报告字符串和所述用户授权信息的多个信息封装到一个映射表中,所述映射表存有各信息的键名和键值;
根据所述映射表中的键名和键值,生成签名信息;
基于所述漏洞扫描报告和所述签名信息生成带所述签名信息的所述漏洞扫描报告。
4.如权利要求3所述的离线静态代码分析与云端解析漏洞扫描报告结合的方法,其特征在于,所述生成签名信息,包括:
将所述映射表中的键名存入列表中,并对所述列表中的键名进行排序;
将所述列表中的键名与所述映射表中对应的键值进行拼接生成键值对;
将各键值对进行拼接,得到待加密字符串;
对所述待加密字符串进行加密得到所述签名信息。
5.如权利要求3所述的离线静态代码分析与云端解析漏洞扫描报告结合的方法,其特征在于,所述基于所述漏洞扫描报告生成漏洞扫描报告字符串,包括:
根据所述漏洞扫描报告的总行数获取所述漏洞扫描报告的中间值;
以所述漏洞扫描报告的中间值为起点到所述漏洞扫描报告的最后一行取中间值;
以最新取得的中间值作为起点到所述漏洞扫描报告的最后一行取中间值,并重复多次以得到多个中间值;
对得到的所有中间值分别连续取至少部分字符;
将从所有中间值取到的字符拼接成一个字符串。
6.如权利要求1所述的离线静态代码分析与云端解析漏洞扫描报告结合的方法,其特征在于,
所述根据所述用户授权信息和所述签名信息确定所述漏洞扫描报告的合法性,包括:
验证所述用户授权信息是否合法,所述用户授权信息合法包括处于有效期内、所述用户授权信息没有被恶意篡改;
若所述用户授权信息合法,则通过所述签名信息验证所述漏洞扫描报告的合法性。
7.一种电子设备,其特征在于,包括:
处理器;
存储器,其中存储有所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至6任一项所述的离线静态代码分析与云端解析漏洞扫描报告结合的方法。
8.一种计算机可读存储介质,其上存储有程序,其特征在于,所述程序被处理器执行时实现如权利要求1至6任一项所述的离线静态代码分析与云端解析漏洞扫描报告结合的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311560440.8A CN117574368A (zh) | 2023-11-21 | 2023-11-21 | 离线静态代码分析与云端解析漏洞扫描报告结合的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311560440.8A CN117574368A (zh) | 2023-11-21 | 2023-11-21 | 离线静态代码分析与云端解析漏洞扫描报告结合的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117574368A true CN117574368A (zh) | 2024-02-20 |
Family
ID=89883964
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311560440.8A Pending CN117574368A (zh) | 2023-11-21 | 2023-11-21 | 离线静态代码分析与云端解析漏洞扫描报告结合的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117574368A (zh) |
-
2023
- 2023-11-21 CN CN202311560440.8A patent/CN117574368A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI557589B (zh) | 用於產品驗證和啟動的安全軟體產品識別器 | |
US7934197B2 (en) | Maintaining code integrity in a central software development system | |
US10339575B2 (en) | Method and system for provenance tracking in software ecosystems | |
JP5802848B2 (ja) | モバイル環境用のトロイの木馬化されたアプリケーション(アプリ)を特定するためのコンピュータ実装方法、非一時コンピュータ読み取り可能な媒体およびコンピュータシステム | |
KR101214893B1 (ko) | 어플리케이션의 유사성 검출 장치 및 방법 | |
US20020053024A1 (en) | Encrypted program distribution system using computer network | |
CN111506901A (zh) | 基于区块链的数据处理方法、终端及存储介质 | |
CN108449315B (zh) | 请求合法性的校验装置、方法及计算机可读存储介质 | |
CN112883361B (zh) | 应用程序的功能跳转方法、装置、计算机设备及存储介质 | |
CN105933296B (zh) | 版权登记方法及系统 | |
CN104517054A (zh) | 一种检测恶意apk的方法、装置、客户端和服务器 | |
CN110708335A (zh) | 访问认证方法、装置及终端设备 | |
US11790055B2 (en) | Docker container based application licensing method, electronic device and medium | |
CN109417471A (zh) | 密码生成设备和密码验证设备 | |
CN110708310B (zh) | 租户级权限管理方法、装置及设备 | |
CN111324517B (zh) | 应用服务监管方法、监管服务器及存储介质 | |
CN112966308A (zh) | 软件交付方法、处理设备及存储介质 | |
JP2003050641A (ja) | プログラム管理システム、そのプログラム管理方法、及び情報管理プログラム | |
CN111259368A (zh) | 一种登录系统的方法及设备 | |
CN114329358A (zh) | 应用签名方法、系统、交易终端及服务平台 | |
Muñoz et al. | ICITPM: integrity validation of software in iterative continuous integration through the use of Trusted Platform Module (TPM) | |
KR20200000576A (ko) | 블록체인 기반 모바일 위조 앱 검출 방법 | |
CN111817859A (zh) | 基于零知识证明的数据共享方法、装置、设备及存储介质 | |
CN117574368A (zh) | 离线静态代码分析与云端解析漏洞扫描报告结合的方法 | |
KR102403014B1 (ko) | 클라우드 컨테이너 이미지의 위·변조 방지 및 취약점 진단 동시 체크 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |