应用安全管理方法、装置、电子设备及存储介质与流程

本发明涉及信息系统安全分析领域，具体涉及一种应用安全管理方法、装置、电子设备及存储介质。

背景技术：

在信息系统的软件开发过程中，信息系统很难保证不会出现安全问题。目前，一般采用简单的表格(例如，excel表)来维护和跟踪缺陷或漏洞。但是，对于多业务系统、多部门的长期漏洞，现有的手段和机制很难进行跟踪和监控。

技术实现要素：

由于现有方法存在上述问题，本发明实施例提出一种应用安全管理方法、装置、电子设备及存储介质

第一方面，本发明实施例提供一种应用安全管理方法，包括：

确定各个应用中的代码故障，所述代码故障中包括代码缺陷或代码漏洞；

确定各个应用的应用价值、以及对应的各个所述代码故障的危害程度；

根据所述应用价值和所述危害程度，确定对各个所述代码故障进行安全处理的优先级顺序；

按照所述优先级顺序对各个所述代码故障进行安全处理。

可选地，所述确定各个应用中的代码故障，包括：

按照设定检测方式对各个应用中的源代码进行安全检测，得到安全检测结果，所述设定检测方式中包括黑白盒检测方式；

根据所述安全检测结果确定各个应用中的代码故障。

可选地，所述确定各个应用的应用价值、以及对应的各个所述代码故障的危害程度，包括：

按照各个应用对应的项目资产，确定对应的所述应用价值；

按照各个所述代码故障对应的故障信息，确定对应的所述危害程度；其中，所述故障信息包括以下至少一项：

故障类型；

故障来源；

故障名称；

严重程度；

严重系数；

重现步骤。

可选地，所述根据所述应用价值和所述危害程度，确定对各个所述代码故障进行安全处理的优先级顺序，包括：

获取预设的优先级排序模型；

将各个应用的应用价值、以及对应的各个所述代码故障的危害程度，输入到所述优先级排序模型中，得到对各个所述代码故障进行安全处理的优先级顺序。

可选地，所述按照所述优先级顺序对各个所述代码故障进行安全处理，包括：

按照所述优先级顺序依次对各个所述代码故障进行复现并修复，得到修复结果；

对修复结果进行验证，得到验证结果；

若所述验证结果为验证通过，则关闭对应的所述代码故障；

若所述验证结果为验证未通过，则再次复现并修复对应的所述代码故障，直至该对应的所述代码故障验证通过为止。

可选地，还包括：

对修复过程和验证过程进行跟踪管控，直到关闭各个所述代码故障为止。

可选地，所述对修复过程和验证过程进行跟踪管控，包括：

生成针对所述修复过程和所述验证过程对应的提示信息，并输出所述提示信息。

输出所述修复结果和所述验证结果。

第二方面，本发明实施例提供一种应用安全管理装置，包括：

第一确定模块，用于确定各个应用中的代码故障，所述代码故障中包括代码缺陷或代码漏洞；

第二确定模块，用于确定各个应用的应用价值、以及对应的各个所述代码故障的危害程度；

排序模块，用于根据所述应用价值和所述危害程度，确定对各个所述代码故障进行安全处理的优先级顺序；

处理模块，用于按照所述优先级顺序对各个所述代码故障进行安全处理。

可选地，所述确定各个应用中的代码故障，包括：

按照设定检测方式对各个应用中的源代码进行安全检测，得到安全检测结果，所述设定检测方式中包括黑白盒检测方式；

根据所述安全检测结果确定各个应用中的代码故障。

可选地，所述确定各个应用的应用价值、以及对应的各个所述代码故障的危害程度，包括：

按照各个应用对应的项目资产，确定对应的所述应用价值；

按照各个所述代码故障对应的故障信息，确定对应的所述危害程度；其中，所述故障信息包括以下至少一项：

故障类型；

故障来源；

故障名称；

严重程度；

严重系数；

重现步骤。

可选地，所述根据所述应用价值和所述危害程度，确定对各个所述代码故障进行安全处理的优先级顺序，包括：

获取预设的优先级排序模型；

将各个应用的应用价值、以及对应的各个所述代码故障的危害程度，输入到所述优先级排序模型中，得到对各个所述代码故障进行安全处理的优先级顺序。

可选地，所述按照所述优先级顺序对各个所述代码故障进行安全处理，包括：

按照所述优先级顺序依次对各个所述代码故障进行复现并修复，得到修复结果；

对修复结果进行验证，得到验证结果；

若所述验证结果为验证通过，则关闭对应的所述代码故障；

若所述验证结果为验证未通过，则再次复现并修复对应的所述代码故障，直至该对应的所述代码故障验证通过为止。

可选地，还包括：

对修复过程和验证过程进行跟踪管控，直到关闭各个所述代码故障为止。

可选地，所述对修复过程和验证过程进行跟踪管控，包括：

生成针对所述修复过程和所述验证过程对应的提示信息，并输出所述提示信息；

输出所述修复结果和所述验证结果。

第三方面，本发明实施例还提出一种电子设备，包括：

至少一个处理器；以及

与所述处理器通信连接的至少一个存储器，其中：

所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行上述方法。

第四方面，本发明实施例还提出一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机程序，所述计算机程序使所述计算机执行上述方法。

由上述技术方案可知，本发明通过确定各个应用中的代码故障，所述代码故障中包括代码缺陷或代码漏洞；确定各个应用的应用价值、以及对应的各个所述代码故障的危害程度；根据所述应用价值和所述危害程度，确定对各个所述代码故障进行安全处理的优先级顺序；按照所述优先级顺序对各个所述代码故障进行安全处理，从而实现了针对多业务系统、多部门的长期缺陷或漏洞可以按照优先级顺序进行应用安全处理，也提高了应用安全处理的准确性和效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些图获得其他的附图。

图1为本发明一实施例提供的一种应用安全管理方法的流程示意图；

图2本发明实施例提供的一种应用安全管理装置的结构示意图；

图3为本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

下面结合附图，对本发明的具体实施方式作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

图1示出了本实施例提供的一种应用安全管理方法的流程示意图，如图1所示，该应用安全管理方法可以包括以下步骤：

s110、确定各个应用中的代码故障，所述代码故障中包括代码缺陷或代码漏洞。

具体地，用于表征某个代码故障的信息，可以包括：故障类型、故障来源、故障名称、严重程度、严重系数、重现步骤等方面的信息。

其中，代码故障可以包括代码缺陷或代码漏洞。该代码缺陷或代码漏洞可以指的是由于程序设计考虑不周而产生的可能会对程序本身、系统或数据带来潜在危害的代码问题。另外，代码缺陷可以指的是应用上线前的代码故障，代码漏洞可以指的是应用上线后的代码故障。

s120、确定各个应用的应用价值、以及对应的各个所述代码故障的危害程度。

具体地，确定各个应用的应用价值、以及对应的各个所述代码故障的危害程度，其目的是综合这两方面来确定用于处理这些代码故障的优先级顺序。

比如：某个应用的应用价值为a，检测的缺陷或漏洞的危害程度为b，这样就可以根据a和b来确定用于该缺陷或漏洞的优先级顺序。

s130、根据所述应用价值和所述危害程度，确定对各个所述代码故障进行安全处理的优先级顺序。

具体地，可以对应用价值和危害程度进行定量分析，得到对各个代码故障进行安全处理的优先级顺序，这样可以优先处理排序在前面的代码故障，从而避免了资源浪费。

并且，在对应用价值和危害程度进行定量分析时，可以根据实际情况或预设规则来确定是优先考虑应用价值还是优先考虑危害程度。

比如：优先考虑应用价值，即在定量分析时，先考虑各个应用的应用价值，然后在考虑同一个应用内的各个应用故障的危害程度。

又比如：优先考虑危害程度，即在定量分析时，先考虑各个应用故障的危害程度，然后在考虑同一个应用故障对应的各个应用的应用价值。

s140、按照所述优先级顺序对各个所述代码故障进行安全处理。

具体地，可以优先级顺序依次对各个代码故障进行安全处理。其中，安全处理的目的是为了消除对应的代码故障。

本实施例通过确定各个应用中的代码故障，所述代码故障中包括代码缺陷或代码漏洞；确定各个应用的应用价值、以及对应的各个所述代码故障的危害程度；根据所述应用价值和所述危害程度，确定对各个所述代码故障进行安全处理的优先级顺序；按照所述优先级顺序对各个所述代码故障进行安全处理，从而实现了针对多业务系统、多部门的长期缺陷或漏洞可以按照优先级顺序进行应用安全处理，也提高了应用安全处理的准确性和效率。

进一步地，在上述方法实施例的基础上，s110具体包括：

(1-1)按照设定检测方式对各个应用中的源代码进行安全检测，得到安全检测结果，所述设定检测方式包括黑白盒检测方式；

(1-2)根据所述安全检测结果确定各个应用中的代码故障。

具体地，由于用于表征某个代码故障的信息，可以包括：故障类型、故障来源、故障名称、严重程度、严重系数、重现步骤等方面的信息，所以在根据所述安全检测结果确定各个应用中的代码故障时，需要根据述安全检测结果确定故障类型、故障来源、故障名称、严重程度、严重系数、重现步骤等方面的信息。

本实施例通过根据安全检测结果确定各个应用中的代码故障，尤其是故障类型、故障来源、故障名称、严重程度、严重系数、重现步骤等方面的信息，这样便于后续确定对各个代码故障进行安全处理的优先级顺序，从而提高了应用安全处理的可靠性。

进一步地，在上述方法实施例的基础上，s120具体包括：

(2-1)按照各个应用对应的项目资产，确定对应的所述应用价值；

(2-2)按照各个所述代码故障对应的故障信息，确定对应的所述危害程度；其中，所述故障信息包括以下至少一项：

故障类型；

故障来源；

故障名称；

严重程度；

严重系数；

重现步骤。

具体地，代码故障可以为代码缺陷或代码漏洞。

其中，故障类型可以指的是代码缺陷或代码漏洞所属的类别。比如，故障类型为代码质量问题。

故障来源可以指的是代码缺陷或代码漏洞的来源。比如：来源可为应用软件或操作系统。

故障名称可以指的是代码缺陷或代码漏洞的具体名字。

严重程度可以指的是代码缺陷或代码漏洞的安全级别。比如：严重程度包括高危(high)、中等(medium)和低(low)。

严重系数以指的是用于表征代码缺陷或代码漏洞的严重程度的系数。比如：用于表征高危的严重系数为0.9，用于表征低的严重系数为0.1。

重现步骤可以指的是用于重现这个代码缺陷或代码漏洞具体包括的一个或多个步骤。

本实施例通过按照各个应用对应的项目资产，确定对应的所述应用价值，以及按照各个所述代码故障对应的故障信息，确定对应的所述危害程度，从而提高了后续确定对各个代码故障进行安全处理的优先级顺序的准确性。

进一步地，在上述方法实施例的基础上，s130具体包括：

(3-1)获取预设的优先级排序模型；

(3-2)将各个应用的应用价值、以及对应的各个所述代码故障的危害程度，输入到所述优先级排序模型中，得到对各个所述代码故障进行安全处理的优先级顺序。

具体地，预设的优先级排序模型可以是提前训练好的。并且，通过模型对应用价值和危害程度进行定量分析，这样可以更快地确定用于对各个代码故障进行安全处理的优先级顺序，并能够为开发人员在处理各个代码故障提供任务处理优先级的依据。

比如：由于一些低优先级的应用价值不高，并且发现的缺陷/漏洞的危害程度较低，所产生的风险完全可以接受，这样的处理任务就可以选择放弃处理，直接接受其风险。

本实施例通过预设的优先级排序模型来确定各个代码故障的优先级顺序，提高了确定优先级顺序的效率和准确性。

进一步地，在上述方法实施例的基础上，s140具体包括：

(4-1)按照所述优先级顺序依次对各个所述代码故障进行复现并修复，得到修复结果；

(4-2)对修复结果进行验证，得到验证结果；

(4-3)若所述验证结果为验证通过，则关闭对应的所述代码故障；

(4-4)若所述验证结果为验证未通过，则再次复现并修复对应的所述代码故障，直至该对应的所述代码故障验证通过为止。

具体地，安全处理过程可以包括复现并修复功能，验证功能。其中，复现并修复功能可以由开发人员来完成，验证功能可以由安全测试人员来完成。

比如：安全测试人员将针对各个应用中的代码故障的故障信息上传安全处理系统后，该安全处理系统会自动指派相关开发负责人，抄送安全管理人员；开发负责人会指派相关功能的开发人员按复现步骤进行复现并修复该代码缺陷或代码漏洞；当开发人员修复完代码缺陷或代码漏洞后，安全处理系统会自动指派安全测试人员，抄送开发负责人，安全管理人员；当安全测试人员进行验证，若验证通过后，该安全处理系统关闭该代码缺陷或代码漏洞；若验证未通过，该安全处理系统会重新自动指派相关开发负责人，抄送安全管理人员；开发负责人会再次指派相关功能的开发人员按复现步骤进行复现并修复该代码缺陷或代码漏洞，直至该对应的所述代码故障验证通过为止。

本实施例通过按照所述优先级顺序依次对各个所述代码故障进行复现并修复，得到修复结果；对修复结果进行验证，得到验证结果；若所述验证结果为验证通过，则关闭对应的所述代码故障；若所述验证结果为验证未通过，则再次复现并修复对应的所述代码故障，直至该对应的所述代码故障验证通过为止，从而保证了应用安全处理的质量。

进一步地，在上述方法实施例的基础上，s140还包括：

(5-1)对修复过程和验证过程进行跟踪管控，直到关闭各个所述代码故障为止。

具体地，安全处理过程还可以包括跟踪管控功能。其中，跟踪管控功能可以由该安全处理系统自动完成。比如：在复现并修复时，自动发送邮件通知开发人员，抄送开发负责人，安全管理人员等；在验证时，自动发送邮件通知安全测试人员，抄送开发负责人，安全管理人员等。

本实施例通过对修复过程和验证过程进行跟踪管控，直到关闭各个所述代码故障为止，从而提高了应用安全处理的效率。比如：开发人员修复完代码缺陷或代码漏洞后，系统自动指派安全测试人员，安全测试人员进行验证，验证通过后，关闭该代码缺陷或代码漏洞，从而完成对代码缺陷或代码漏洞全生命周期的监控。

进一步地，在上述方法实施例的基础上，(5-1)具体包括：

(6-1)生成针对所述修复过程和所述验证过程对应的提示信息，并输出所述提示信息；

(6-6)输出所述修复结果和所述验证结果。

具体地，在安全处理过程中，为了开发负责人，安全管理人员、开发人员、安全测试人员等能及时获知安全处理情况，此时安全处理系统可以在不同的处理阶段生成对应的提示信息，并输出对应的提示信息，这样不同处理阶段的人员可以根据提示信息及时完成处理任务。另外，在安全处理过程中，还可以输出修复结果和验证结果，这样可以方便相关人员进行统计分析。同时，也可以将修复结果和验证结果存储在指定区域，这样也方便相关人员进行查询等。

图2示出了本实施例提供的一种应用安全管理装置的流程示意图，如图2所示，该应用安全管理装置可以包括管控确定模块31、阶段确定模块21、安全管控模块22和输出模块23。

第一确定模块21，用于确定各个应用中的代码故障，所述代码故障中包括代码缺陷或代码漏洞；

第二确定模块22，用于确定各个应用的应用价值、以及对应的各个所述代码故障的危害程度；

排序模块23，用于根据所述应用价值和所述危害程度，确定对各个所述代码故障进行安全处理的优先级顺序；

处理模块24，用于按照所述优先级顺序对各个所述代码故障进行安全处理。

进一步地，在上述装置实施例的基础上，所述确定各个应用中的代码故障，包括：

按照设定检测方式对各个应用中的源代码进行安全检测，得到安全检测结果，所述设定检测方式中包括黑白盒检测方式；

根据所述安全检测结果确定各个应用中的代码故障。

进一步地，在上述装置实施例的基础上，所述确定各个应用的应用价值、以及对应的各个所述代码故障的危害程度，包括：

按照各个应用对应的项目资产，确定对应的所述应用价值；

按照各个所述代码故障对应的故障信息，确定对应的所述危害程度；其中，所述故障信息包括以下至少一项：

故障类型；

故障来源；

故障名称；

严重程度；

严重系数；

重现步骤。

进一步地，在上述装置实施例的基础上，所述根据所述应用价值和所述危害程度，确定对各个所述代码故障进行安全处理的优先级顺序，包括：

获取预设的优先级排序模型；

将各个应用的应用价值、以及对应的各个所述代码故障的危害程度，输入到所述优先级排序模型中，得到对各个所述代码故障进行安全处理的优先级顺序。

进一步地，在上述装置实施例的基础上，所述按照所述优先级顺序对各个所述代码故障进行安全处理，包括：

按照所述优先级顺序依次对各个所述代码故障进行复现并修复，得到修复结果；

对修复结果进行验证，得到验证结果；

若所述验证结果为验证通过，则关闭对应的所述代码故障；

若所述验证结果为验证未通过，则再次复现并修复对应的所述代码故障，直至该对应的所述代码故障验证通过为止。

进一步地，在上述装置实施例的基础上，还包括：

对修复过程和验证过程进行跟踪管控，直到关闭各个所述代码故障为止。

进一步地，在上述装置实施例的基础上，所述对修复过程和验证过程进行跟踪管控，包括：

生成针对所述修复过程和所述验证过程对应的提示信息，并输出所述提示信息；

输出所述修复结果和所述验证结果。

本实施例所述的应用安全管理装置可以用于执行上述方法实施例，其原理和技术效果类似，此处不再赘述。

图3示出了一种电子设备的实体结构示意图，如图3所示，该电子设备可以包括：处理器(processor)301、通信接口(communicationsinterface)302、存储器(memory)303和通信总线304，其中，处理器301，通信接口302，存储器303通过通信总线304完成相互间的通信。处理器301可以调用存储器303中的逻辑指令，以执行如下方法：

确定一个或多个用于在应用开发全生命周期中实现安全管控的安全管控工具；

确定在所述应用开发全生命周期中需要利用所述安全管控工具进行安全管控的一个或多个指定阶段；

将所述安全管控工具嵌入对应的所述指定阶段，并通过所述安全管控工具在对应的所述指定阶段进行安全管控，得到对应的安全管控报告；

输出所述对应的安全管控报告。

需要说明的是，本实施例中的电子设备在具体实现时可以为服务器，也可以为pc机，还可以为其他设备，只要其结构中包括如图3所示的处理器301、通信接口302、存储器303和通信总线304，其中处理器301，通信接口302，存储器303通过通信总线304完成相互间的通信，且处理器301可以调用存储器303中的逻辑指令以执行上述方法即可。本实施例不对电子设备的具体实现形式进行限定。

此外，上述的存储器303中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

进一步地，本发明实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：

确定各个应用中的代码故障，所述代码故障中包括代码缺陷或代码漏洞；

确定各个应用的应用价值、以及对应的各个所述代码故障的危害程度；

根据所述应用价值和所述危害程度，确定对各个所述代码故障进行安全处理的优先级顺序；

按照所述优先级顺序对各个所述代码故障进行安全处理。

另一方面，本发明实施例还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各实施例提供的传输方法，例如包括：

确定各个应用中的代码故障，所述代码故障中包括代码缺陷或代码漏洞；

确定各个应用的应用价值、以及对应的各个所述代码故障的危害程度；

根据所述应用价值和所述危害程度，确定对各个所述代码故障进行安全处理的优先级顺序；

按照所述优先级顺序对各个所述代码故障进行安全处理。

以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。