[发明专利]源码测试方法及装置

说明书

本发明提供一种源码测试方法及装置，方法包括：获取目标源码；基于预设编码规则库对所述目标源码进行扫描处理并选取出漏洞编码；对所述选取出的漏洞编码进行筛选处理；基于筛选处理后的漏洞编码生成源码测试报告。本发明能够避免人工介入，减少人工引入的偏差和检查时间，提高结果可信度以及提升扫描效率，进而提高扫描结果的精准度。

技术领域

本发明涉及计算机技术领域，具体涉及一种源码测试方法及装置。

背景技术

随着金融领域对计算机网络和软件系统的依赖程度逐渐增加，信息技术在给传统金融业务带来巨大变革的同时，也引入了潜在的巨大安全风险，金融领域的软件系统的安全问题亟待解决。

目前金融行业多采购第三方安全静态扫描工具，手工操作安全静态扫描工具进行软件系统的安全测试，第三方的安全静态扫描工具通过扫描源码和依赖库，根据使用的规则集扫描生成独立的报告。整个过程中需要人工操作进行扫描，导致扫描效率低、人工成本高和误报率高等问题，使源码扫描效果大打折扣。

发明内容

针对现有技术中的问题，本发明提供一种源码测试方法及装置，能够提升扫描效率以及扫描结果的可信度和精准度。

为解决上述技术问题，本发明提供以下技术方案：

第一方面，本发明提供一种源码测试方法，包括：

获取目标源码；

基于预设编码规则库对所述目标源码进行扫描处理并选取出漏洞编码；

对所述选取出的漏洞编码进行筛选处理；

基于筛选处理后的漏洞编码生成源码测试报告。

其中，所述获取目标源码，包括：通过人工上传目标源码和/或流程自动化的导入目标源码的方式获取目标源码。

其中，所述扫描处理，包括：编码规范扫描、代码安全扫描和工程规范扫描中至少一种。

其中，所述对所述选取出的漏洞编码进行筛选处理，包括：

基于漏洞过滤库对选取出的漏洞编码进行筛选处理。

其中，所述基于漏洞过滤库对选取出的漏洞编码进行筛选处理，包括：

判断选取出的漏洞编码中各个编码是否存在于所述漏洞过滤库中；

确定存在于所述漏洞过滤库中的编码为误报编码并在选取出的漏洞编码中删除所述误报编码。

进一步的，在所述基于漏洞过滤库对选取出的漏洞编码进行筛选处理之后，还包括：

根据所述筛选处理后的漏洞编码对所述漏洞过滤库进行更新。

其中，所述基于筛选处理后的漏洞编码生成源码测试报告，包括：

基于筛选处理后的各个漏洞编码各自对应的代码行数、文件路径和函数名称生成各自对应的唯一标识；

基于各个所述唯一标识生成源码测试报告。

进一步的，在所述获取目标源码之后，还包括：

对获取的所述目标源码进行编译；

相对应的，所述基于预设编码规则库对所述目标源码进行扫描处理并选取出漏洞编码，包括：

基于预设编码规则库对编译通过的所述目标源码进行扫描处理并选取出漏洞编码。

进一步的，在所述对获取的所述目标源码进行编译之前，还包括：

对超过预设容量的目标源码进行拆分处理生成所述目标源码对应的各个目标子源码；