[发明专利]一种软件系统的安全测试方法、测试设备及介质

说明书

本申请提供一种软件系统的安全测试方法、测试设备及介质，该方法中，获取软件系统的系统基线快照信息和系统快照信息，其中，系统基线快照信息包括多种类型的基线快照信息，系统快照信息包括多种类型的对象快照信息，相同类型的对象快照信息和基线快照信息一一对应，针对每种类型的对象快照信息，当对象快照信息与对应的基线快照信息存在差异时，确定对象快照信息为变更快照信息，针对每个变更快照信息，根据变更快照信息的类型确定测试规则，根据测试规则对变更快照信息进行测试确定测试结果，根据每个变更快照信息的测试结果确定软件系统的安全测试结果。解决了现有技术对软件系统测试的方式，存在测试耗时长、测试结果准确率低的问题。

技术领域

本申请涉及软件测试技术领域，尤其涉及一种软件系统的安全测试方法、测试设备及介质。

背景技术

软件系统安全测试是检验软件系统中已存在的安全措施是否有效的测试，是保证软件系统安全性的重要手段。

现有技术在对软件系统的安全进行测试时，皆是根据提前定义的可能识别反映软件系统脆弱性的测试特征的多个测试规则，对软件系统的字符数据信息进行全覆盖式扫描检测，确定与测试规则匹配的检测结果。

但是，现有技术对软件系统测试的方式，存在测试耗时长、测试结果准确率低的问题。

发明内容

本申请提供一种软件系统的安全测试方法、测试设备及介质，用于解决现有技术对软件系统测试的方式，存在测试耗时长、测试结果准确率低的问题。

第一方面，本申请实施例提供一种软件系统的安全测试方法，包括：

获取所述软件系统的系统基线快照信息，所述系统基线快照信息包括多种类型的基线快照信息；

获取所述软件系统的系统快照信息；其中，所述系统快照信息包括多种类型的对象快照信息，相同类型的所述对象快照信息和所述基线快照信息一一对应；

针对每种类型的对象快照信息，当所述对象快照信息与对应的基线快照信息存在差异时，确定所述对象快照信息为变更快照信息；

针对每个变更快照信息，根据所述变更快照信息的类型，确定测试规则，并根据所述测试规则对所述变更快照信息进行匹配测试，确定所述变更快照信息对应的测试结果；

根据每个所述变更快照信息对应的测试结果，确定所述软件系统的安全测试结果。

本实施例的有益效果：一方面，本实施例仅对与基线快照信息存在差异的对象快照信息进行规则的匹配测试，可以缩小测试范围提高测试速度，减少确定的安全测试结果的个数，进而可以降低后续人工审核安全测试结果的成本。另一方面，将测试规则应用于分类上，根据变更快照信息(对象快照信息)的类型确定测试特征和测试规则，可以根据更具针对性的测试规则，对与基线快照信息存在差异的对象快照信息进行测试，以确定其是否具备与测试特征对应的特征，从而可以避免无差别地扫描测试导致的高误报问题。

在上述的软件系统的安全测试方法的优选实施例中，所述获取所述软件系统的系统快照信息，包括：

判断所述软件系统是否发生软件版本更新；

在判断出所述软件系统发生软件版本更新时，获取所述软件系统的多种类型的程序文件快照信息，并获取所述软件系统的多种类型的进程快照信息；或者，

在判断出所述软件系统未发生软件版本更新时，获取所述软件系统的多种类型的进程快照信息。

本实施例的有益效果：根据软件系统是否发生软件版本更新，确定是否获取程序文件快照信息，即是否后续对程序文件快照信息进行测试规则的获取和匹配测试。测试设备可以在确定软件系统未发生软件版本更新时，仅获取进程快照信息，后续仅对进程快照信息进行测试规则的获取与匹配测试，进一步缩小了测试范围，提高了软件系统的安全测试速度。