[发明专利]一种基于开放平台的安全检测系统及其检测方法

权利要求书

1.一种基于开放平台的安全检测系统，其特征在于，该系统主要包括：功能向导模块，安全策略配置模块，安全检查模块，报表生成及显示模块，以及检测启用/暂停模块；其中：

所述功能向导模块，负责工具功能的配置，提供特定应用的创建向导，创建相关项目文件结构，加载配置文件及依赖库；

所述安全策略配置模块，用于对安全检测的相关安全策略生成规则进行选择，开发者可选择所需的规则；

所述安全检查模块，用于对用户当前编辑区中的代码进行安全检查、以及根据在安全策略配置模块生成的规则更新安全策略，并通过异步监听编辑区的代码发生修改来触发安全检测类的相关方法的执行，包括安全策略信息的加载、语法树的构建、编译单元资源的获取和语法树的解析；

所述报表生成及显示模块，用于检测结果的呈现，所述检测结果包括检测漏洞类型，漏洞所在位置，修复建议。

2.根据权利要求1所述的基于开放平台的安全检测系统，其特征在于，该系统还包括检测启用/暂停模块，用于启用或暂停安全检测过程，以供用户控制检测进度。

3.根据权利要求1所述的基于开放平台的安全检测系统，其特征在于，所述的安全检查模块，包括复用的同步编译子模块，作为该安全检查模块的核心，其能够提供相关方法分别对初次编译进行检查和对修改之后的代码进行编译检查。

4.根据权利要求1或3所述的基于开放平台的安全检测系统，其特征在于，所述的安全检查模块，进一步包括静态代码安全检查子模块、常见web漏洞安全提示子模块和敏感信息泄露漏洞检查子模块；其中：

所述静态代码安全检查子模块，用于代码编辑过程中与编译同步完成代码的安全提示，该部分的检查功能是以源代码本身无编译错误为前提，进行代码漏洞发现和安全提示；

所述常见web漏洞安全提示子模块，用于开发者在进行数据库使用时以及生成数据时进行的安全检查，主要是对与SQL注入相关的方法及参数的使用定位，对于可能出现安全隐患的SQL语句给出安全提示，以及用于开发者进行代码中的参数传递定位，对于可能出现的安全隐患给出安全提示；以及

所述敏感信息泄露漏洞检查子模块，用于开发过程中对应用的工程进行全目录扫描，定位Web工程所需文件以外的临时文件、备份文件、加密文件及隐藏文件，帮助开发者发现文件泄露漏洞。

5.根据权利要求1所述的基于开放平台的安全检测系统，其特征在于，所述安全检测系统，由开发者自行安装或使用eclipse平台在线安装方式集成，通过用户定制特定应用软件类型完成开放平台所提供的软件开发工具包SDK的加载，生成项目工程并以组件形式提供开放应用程序接口API的调用，用户调用组件完成应用功能的实现。

6.一种基于开放平台的安全系统的检测方法，其特征在于，该方法包括：

A、所述系统引导用户通过使用功能向导选择创建应用的类型及相关SDK，之后完成项目目录、配置文件的创建、依赖库、SDK的加载，以创建完成一个新项目；

B、用于通过安全策略配置模块提供的配置面板对安全策略的生成规则加以选择或取消；或，在此设置所涉及的各个检测模块的启动、暂停及停止的控制功能；

C、对用户当前编辑区中的代码进行安全检查、以及根据在安全策略配置模块生成的规则更新安全策略，并通过异步监听编辑区的代码发生修改来触发安全检测类的相关方法的执行；

D、报表生成及呈现模块监听并接收步骤C中各模块发送的检测结果，并分别提供相应的检测结果展示视图。

7.根据权利要求6所述的基于开放平台的安全系统的检测方法，其特征在于，所述步骤B中，若用户未主动进行设置，则系统默认选择所有生成规则，启动所有安全检测模块。