[发明专利]基于DevSecOps平台的安全测试方法及系统

权利要求书

1.一种基于DevSecOps平台的安全测试方法，其特征在于，所述DevSecOps平台上集成有若干基于容器运行的安全测试工具和自动化安装部署工具；所述DevSecOps平台提供一可视化的、自定义的编辑系统，所述编辑系统提供与DevSecOps流程中测试相关的所有开发环节的展示和编辑；所述安全测试方法包括：

基于应用项目的特点，通过所述编辑系统对所述开发环节进行测试流程的自定义编辑，以形成安全测试流水线，所述测试流程包括所述安全测试工具的选取、测试步骤的执行顺序以及触发方式的选择；

解析所述安全测试流水线的配置要求，并基于所述自动化安装部署工具将解析出来的所述配置要求自动化部署到DevSecOps平台的安全测试服务程序中；

当满足所述触发方式时，所述DevSecOps平台以所述安全测试流水线自动对所述应用项目进行测试；

所述编辑系统中提供的与DevSecOps流程中测试相关的开发环节包括构建触发环节、构建环节、测试环节、制品存档环节和部署环节；

对于所述构建触发环节，支持用户自定义测试程序启动的触发方式；

对于所述构建环节，支持用户自由选择代码仓库的来源、编译工具以及安全测试工具，同时支持用户自由选择是否在此阶段进行安全测试；

对于所述测试环节，支持用户自由选择安全测试工具以及测试步骤的执行顺序；

对于所述制品存档环节，支持用户自由选择是否进行安全测试以及所述安全测试工具的选择；

对于所述部署环节，支持用户自由选择安全部署和测试步骤的执行顺序以及所述安全测试工具的选择。

2.根据权利要求1所述的基于DevSecOps平台的安全测试方法，其特征在于，所述安全测试方法还包括：

DevSecOps平台可根据所述应用项目的基本信息在所述编辑系统中自动推荐出相匹配的所述安全测试流水线，并可对推荐出的所述安全测试流水线进行自定义编辑。

3.根据权利要求1所述的基于DevSecOps平台的安全测试方法，其特征在于，所述安全测试工具包括交互式安全测试工具、动态安全测试工具、静态安全测试工具、软件成分分析测试工具以及应用程序接口模糊测试工具中的至少两个。

4.一种基于DevSecOps平台的安全测试系统，其特征在于，所述DevSecOps平台上集成有若干基于容器运行的安全测试工具和自动化安装部署工具，所述DevSecOps平台上还设置有解析模块、部署模块以及可视化的、自定义的编辑系统；

所述编辑系统，提供与DevSecOps流程中测试相关的所有开发环节的展示和编辑，可对所述开发环节进行测试流程的自定义编辑，以形成安全测试流水线，所述测试流程包括所述安全测试工具的选取、测试步骤的执行顺序以及触发方式的选择；

所述解析模块，用于解析所述编辑系统输出的所述安全测试流水线的配置要求；

所述部署模块，用于将所述解析模块解析出来的配置要求自动化部署到DevSecOps平台的安全测试服务程序中；

所述编辑系统中提供的与DevSecOps流程中测试相关的开发环节包括构建触发环节、构建环节、测试环节、制品存档环节和部署环节；

对于所述构建触发环节，支持用户自定义测试程序启动的触发方式；

对于所述构建环节，支持用户自由选择代码仓库的来源、编译工具以及安全测试工具，同时支持用户自由选择是否在此阶段进行安全测试；

对于所述测试环节，支持用户自由选择安全测试工具以及测试步骤的执行顺序；

对于所述制品存档环节，支持用户自由选择是否进行安全测试以及所述安全测试工具的选择；

对于所述部署环节，支持用户自由选择安全部署和测试步骤的执行顺序以及所述安全测试工具的选择。

5.根据权利要求4所述的基于DevSecOps平台的安全测试系统，其特征在于，所述DevSecOps平台上还设置有推荐模块，所述推荐模块可根据应用项目的基本信息在所述编辑系统中自动推荐出相匹配的所述安全测试流水线，被推荐出的所述安全测试流水线支持自定义编辑。