[发明专利]基于DevSecOps平台的安全测试方法及系统

说明书

本发明公开一种基于DevSecOps平台的安全测试方法及系统，DevSecOps平台上集成有若干安全测试工具和自动化安装部署工具；DevSecOps平台提供一可视化的、自定义的编辑系统，编辑系统提供与DevSecOps流程中测试相关的所有开发环节的展示和编辑；安全测试方法包括：基于应用项目的特点，通过编辑系统对开发环节进行测试流程的自定义编辑，以形成安全测试流水线，并基于自动化安装部署工具将解析出来的配置要求自动化部署到DevSecOps平台的安全测试服务程序中；对于上述安全测试方法，用户可根据应用项目的特点自由选择使用安全测试工具和测试步骤，进而提高了软件安全测试流程中对安全测试工具使用的灵活性，支持在不同的开发环节使用不同的安全测试技术，可有效提高测试效率和测试质量。

技术领域

本发明涉及软件全生命周期安全开发测试技术领域，尤其涉及一种基于DevSecOps平台的安全测试方法及系统。

背景技术

信息技术的发展，使得软件规模越来越大，传统的“软件作坊”式生产往往依赖于人们急于创造财富的激动情绪，生产处于无序、混沌的一种状态，软件产品的质量不能保证，甚至中途撤消软件项目，这种生产方式已不能满足日益增长的软件需求。软件行业日益清晰地认识到：为了按时交付软件产品和服务，开发和运维工作必须紧密合作，因此，出现了DevOps软件开发平台，DevOps（Development和Operations的组合词）是一组过程、方法与系统的统称，用于促进开发（应用程序/软件工程）、技术运营和质量保障（QA）部门之间的沟通、协作与整合，它是一种重视“用户（Dev）”和“IT运维技术人员（Ops）”之间沟通合作的文化、运动或惯例。透过自动化“软件交付”和“架构变更”的流程，来使得构建、测试、发布软件能够更加地快捷、频繁和可靠。

传统的DevOps流程不关注安全测试部分，但是信息安全越来越受到企业重视，在研发部署自动化技术不断成熟的背景下，自动化的将安全测试集成到现有DevOps流程中，继而构建成熟的DevSecOps流程成为企业应用开发的新的目标。

然而，对于基于DevSecOps流程的软件开发平台来说，目前都是将有限的几种安全测试工具集成在平台上，用户在对应用项目进行安全测试时只能被动地使用这些安全测试工具，不能根据应用项目的特点自由选择安全测试工具的组合和执行步骤，因此，限制了对安全测试工具的灵活应用，降低了测试效率和测试质量。

发明内容

本发明其中一目的是提供一种基于DevSecOps平台的安全测试方法，以使得用户可根据需要自由选择所需要的测试流程。

本发明另一目的是提供一种基于DevSecOps平台的安全测试系统，以使得用户可根据需要自由选择所需要的测试流程。

为了实现上述目的，本发明公开了一种基于DevSecOps平台的安全测试方法，所述DevSecOps平台上集成有若干基于容器运行的安全测试工具和自动化安装部署工具；所述DevSecOps平台提供一可视化的、自定义的编辑系统，所述编辑系统提供与DevSecOps流程中测试相关的所有开发环节的展示和编辑；所述安全测试方法包括：

基于应用项目的特点，通过所述编辑系统对所述开发环节进行测试流程的自定义编辑，以形成安全测试流水线，所述测试流程包括所述安全测试工具的选取、测试步骤的执行顺序以及触发方式的选择；

解析所述安全测试流水线的配置要求，并基于所述自动化安装部署工具将解析出来的所述配置要求自动化部署到DevSecOps平台的安全测试服务程序中；

当满足所述触发方式时，所述DevSecOps平台以所述安全测试流水线自动对所述应用项目进行测试。