本申请实施例提供一种基于应用程序的漏洞管理方法、装置、介质及设备,该方法包括:获取待检测漏洞的漏洞信息;根据定位信息获取与待检测漏洞对应的目标开发流程执行文件;判断目标开发流程执行文件中各环节的实际执行结果是否与漏洞类型对应的预期执行结果一致;若不一致,则将实际执行结果与预期执行结果不一致的异常环节在目标开发流程执行文件中进行标记。利用本申请实施例,通过对开发流程执行文件中的每个关键环节设定了执行规则。在应用程序出现漏洞后,通过对比开发流程执行文件中各环节的实际执行结果与该待测漏洞的漏洞类型对应的预期执行结果,进而在开发流程执行文件中定位待测漏洞具体存在的环节,并分析待测漏洞产生的具体原因。漏洞产生的具体原因。漏洞产生的具体原因。
【技术实现步骤摘要】
基于应用程序的漏洞管理方法、装置、介质及设备
[0001]本申请涉及电子通信
,尤其涉及一种基于应用程序的漏洞管理
,特别涉及一种基于应用程序的漏洞管理方法、装置、介质及设备。
技术介绍
[0002]应用程序的开发生命周期在本领域中称为SDLC(Software Development Life Cycle),是软件的产生直到报废的生命周期,周期内有问题定义、可行性分析、总体描述、系统设计、编码、调试和测试、验收与运行、维护升级到废弃等阶段。对于一个应用程序而言,在其开发生命周期中任何一个节点没有维护好并很有可能造成应用程序在运行过程中出现异常,即漏洞。因此,对于应用程序的开发人员来说需要确保应用程序在上线前各个环节不会存在问题。但是,应用程序本身逻辑复杂,很难通过前期对所有问题进行细致排查,难免会有部分问题是不能被开发人员发现的,导致应用程序在上线后不可避免地出现各种漏洞,影响应用程序的正常运行。
技术实现思路
[0003]本申请实施例提供一种基于应用程序的漏洞管理方法、装置、介质及设备,利用本申请实施例提供的基于应用程序的漏洞管理方法,基于应用程序开发生命周期定义了多个关键环节,得到一个开发流程执行文件,并对开发流程执行文件中的每个关键环节设定了执行规则。在应用程序出现漏洞后,由开发人员将待测漏洞的漏洞信息上传系统,并调出应用程序的开发流程执行文件,对比开发流程执行文件中各环节的实际执行结果与该待测漏洞的漏洞类型对应的预期执行结果,进而在开发流程执行文件中定位待测漏洞具体存在的环节,并分析待测漏洞产生的具体原因。
[0004]本申请实施例一方面提供了一种基于应用程序的漏洞管理方法,所述基于应用程序的漏洞管理方法包括:
[0005]获取目标应用程序中待检测漏洞的漏洞信息,所述漏洞信息包括所述待检测漏洞的漏洞类型,及所述目标应用程序的开发流程执行文件的定位信息;
[0006]根据所述定位信息,获取与所述待检测漏洞对应的目标开发流程执行文件;
[0007]判断所述目标开发流程执行文件中各环节的实际执行结果是否与所述漏洞类型对应的预期执行结果一致,得到各环节对应的判断结果;
[0008]若所述判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,则将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中进行标记。
[0009]在本申请实施例所述的基于应用程序的漏洞管理方法中,若判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,所述方法还包括:
[0010]根据各所述异常环节中实际执行结果与预期执行结果存在不一致的差异信息,生成对应的文字说明;
[0011]在所述目标开发流程执行文件中,将所述文字说明插入与其对应的异常环节并以预设形式进行展示。
[0012]在本申请实施例所述的基于应用程序的漏洞管理方法中,所述定位信息包括与漏洞关联的应用程序的预设标识及开发流程执行文件的版本号;
[0013]所述根据所述定位信息,获取与所述待检测漏洞对应的目标开发流程执行文件,包括:
[0014]根据所述预设标识获取至少一个与版本号对应的需求信息;
[0015]根据版本号从所述至少一个与版本号对应的需求信息中获取与所述版本号对应的目标需求信息;
[0016]根据所述目标需求信息获取与其对应的目标开发流程执行文件。
[0017]在本申请实施例所述的基于应用程序的漏洞管理方法中,所述开发流程执行文件中各环节至少包括安全评审结果是否准确问题,安全场景的识别是否准确、针对安全场景识别所进行的安全设计是否准确完整。
[0018]在本申请实施例所述的基于应用程序的漏洞管理方法中,所述安全场景包括输入校验、输出编码校验、访问控制、参数化SQL、安全资源竞争及敏感信息使用检查中的一种或多种。
[0019]在本申请实施例所述的基于应用程序的漏洞管理方法中,在所述获取目标应用程序中待检测漏洞的漏洞信息之前,所述方法还包括:
[0020]提供一工单录入平台,所述工单录入平台用于供应用程序开发人员在发现目标应用程序存在漏洞后提供将待检测漏洞的漏洞信息。
[0021]在本申请实施例所述的基于应用程序的漏洞管理方法中,所述将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中进行标记,包括:
[0022]将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中通过字体颜色高亮或字体放大的形式进行标记。
[0023]相应的,本申请实施例另一方面还提供了一种基于应用程序的漏洞管理装置,所述基于应用程序的漏洞管理装置包括:
[0024]信息获取模块,用于获取目标应用程序中待检测漏洞的漏洞信息,所述漏洞信息包括所述待检测漏洞的漏洞类型,及所述目标应用程序的开发流程执行文件的定位信息;
[0025]文件获取模块,用于根据所述定位信息,获取与所述待检测漏洞对应的目标开发流程执行文件;
[0026]结果判断模块,用于判断所述目标开发流程执行文件中各环节的实际执行结果是否与所述漏洞类型对应的预期执行结果一致,得到各环节对应的判断结果;
[0027]结果标记模块,用于若所述判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,则将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中进行标记。
[0028]相应的,本申请实施例另一方面还提供了一种存储介质,所述存储介质存储有多条指令,所述指令适于处理器进行加载,以执行如上所述的基于应用程序的漏洞管理方法。
[0029]相应的,本申请实施例另一方面还提供了一种终端设备,包括处理器和存储器,所述存储器存储有多条指令,所述处理器加载所述指令以执行如上所述的基于应用程序的漏
洞管理方法。
[0030]本申请实施例提供了一种基于应用程序的漏洞管理方法、装置、介质及设备,该方法通过获取目标应用程序中待检测漏洞的漏洞信息,所述漏洞信息包括所述待检测漏洞的漏洞类型,及所述目标应用程序的开发流程执行文件的定位信息;根据所述定位信息,获取与所述待检测漏洞对应的目标开发流程执行文件;判断所述目标开发流程执行文件中各环节的实际执行结果是否与所述漏洞类型对应的预期执行结果一致,得到各环节对应的判断结果;若所述判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,则将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中进行标记。利用本申请实施例提供的基于应用程序的漏洞管理方法,通过基于应用程序开发生命周期定义了多个关键环节,得到一个开发流程执行文件,并对开发流程执行文件中的每个关键环节设定了执行规则。重点在于关注应用程序的安全评审结果是否准确问题,安全场景的识别是否准确及针对安全场景识别所进行的安全设计是否准确及完整这几个关键环节。通过在应用程序出现漏洞后,由开发人员将待测本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于应用程序的漏洞管理方法,其特征在于,包括:获取目标应用程序中待检测漏洞的漏洞信息,所述漏洞信息包括所述待检测漏洞的漏洞类型,及所述目标应用程序的开发流程执行文件的定位信息;根据所述定位信息,获取与所述待检测漏洞对应的目标开发流程执行文件;判断所述目标开发流程执行文件中各环节的实际执行结果是否与所述漏洞类型对应的预期执行结果一致,得到各环节对应的判断结果;若所述判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,则将实际执行结果与预期执行结果不一致的异常环节在所述目标开发流程执行文件中进行标记。2.如权利要求1所述的漏洞管理方法,其特征在于,若判断结果为所述目标开发流程执行文件中的实际执行结果与所述预期执行结果不一致,所述方法还包括:根据各所述异常环节中实际执行结果与预期执行结果存在不一致的差异信息,生成对应的文字说明;在所述目标开发流程执行文件中,将所述文字说明插入与其对应的异常环节并以预设形式进行展示。3.如权利要求1所述的漏洞管理方法,其特征在于,所述定位信息包括与漏洞关联的应用程序的预设标识及开发流程执行文件的版本号;所述根据所述定位信息,获取与所述待检测漏洞对应的目标开发流程执行文件,包括:根据所述预设标识获取至少一个与版本号对应的需求信息;根据版本号从所述至少一个与版本号对应的需求信息中获取与所述版本号对应的目标需求信息;根据所述目标需求信息获取与其对应的目标开发流程执行文件。4.如权利要求1所述的漏洞管理方法,其特征在于,所述开发流程执行文件中各环节至少包括安全评审结果是否准确问题,安全场景的识别是否准确、针对安全场景识别所进行的安全设计是否准确完整。5.如权利要求4所述的漏洞管理方法,其特征在于,所述安全场景包括输入校验、输出编码校验、访问控制、参数化...
【专利技术属性】
技术研发人员:裴玲,李慰慰,
申请(专利权)人:平安科技深圳有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。