安全测试报告的生成方法及装置与流程

本发明涉及计算机，尤其涉及一种安全测试报告的生成方法及装置。

背景技术：

1、现有的在对软件进行安全测试时，需要对测试过程进行记录、说明并汇总形成安全测试报告。其中，报告内容一般包括相对固定的内容如问题描述，漏洞修复建议等，以及其他个性化内容如项目背景、问题复现步骤、风险提示等。

2、现有的软件安全报告的生成方法，安全测试过程中发现问题时，基于人工分析测试过程中的漏洞，手动编写软件的安全测试报告。人工分析以及手动编写的方式，费时费力。

技术实现思路

1、本发明提供一种安全测试报告的生成方法及装置，用以解决现有技术针对人工分析测试过程中的漏洞，手动编写软件的安全测试报告。人工分析以及手动编写的方式，费时费力的技术问题。

2、本发明提供一种安全测试报告的生成方法，包括：

3、对目标软件进行安全测试，确定所述目标软件的测试漏洞数据；

4、基于语义相似度，将所述测试漏洞数据与软件漏洞库中的漏洞数据进行文本匹配，确定所述测试漏洞数据的危险等级，所述软件漏洞库是预先构建的，所述软件漏洞库包含漏洞数据以及漏洞数据对应的危险等级；

5、基于所述测试漏洞数据的危险等级，对所述测试漏洞数据进行排序，并基于排序后的测试漏洞数据，生成所述目标软件的安全测试报告。

6、根据本发明提供的一种安全测试报告的生成方法，基于语义相似度，将所述测试漏洞数据与软件漏洞库中的漏洞数据进行文本匹配，确定所述测试漏洞数据的危险等级，包括：

7、基于语义相似度，将所述测试漏洞数据与软件漏洞库中的漏洞数据进行文本匹配，确定所述软件漏洞库中与所述测试漏洞数据的语义相似度最高的目标漏洞数据；

8、将所述目标漏洞数据的危险等级作为所述测试漏洞数据的危险等级。

9、根据本发明提供的一种安全测试报告的生成方法，基于排序后的测试漏洞数据，生成所述目标软件的安全测试报告，包括：

10、基于所述目标软件的软件类别，确定所述目标软件的测试报告模板；

11、将所述排序后的测试漏洞数据输入所述测试报告模板，生成所述目标软件的安全测试报告。

12、根据本发明提供的一种安全测试报告的生成方法，将所述排序后的测试漏洞数据输入所述测试报告模板，生成所述目标软件的安全测试报告，进一步包括：

13、获取所述目标软件的历史测试报告；

14、基于所述历史测试报告与所述安全测试报告之间的差异，确定所述测试报告模板的变更内容；

15、基于所述变更内容，更新所述测试报告模板；

16、将所述排序后的测试漏洞数据输入更新后的测试报告模板，生成所述目标软件的安全测试报告。

17、根据本发明提供的一种安全测试报告的生成方法，生成所述目标软件的安全测试报告之后，还包括：

18、基于所述安全测试报告中的测试漏洞数据，确定所述测试漏洞数据对应的补丁数据；

19、基于所述补丁数据，对所述目标软件进行修复。

20、根据本发明提供的一种安全测试报告的生成方法，预先构建所述软件漏洞库，包括：

21、将所述目标软件的多个漏洞数据与所述漏洞数据对应的危险等级进行关联，得到漏洞关联信息；

22、基于所述漏洞关联信息，构建所述软件漏洞库。

23、本发明还提供一种安全测试报告的生成装置，包括：

24、测试模块，用于对目标软件进行安全测试，确定所述目标软件的测试漏洞数据；

25、匹配模块，用于基于语义相似度，将所述测试漏洞数据与软件漏洞库中的漏洞数据进行文本匹配，确定所述测试漏洞数据的危险等级，所述软件漏洞库是预先构建的，所述软件漏洞库包含漏洞数据以及漏洞数据对应的危险等级；

26、报告生成模块，用于基于所述测试漏洞数据的危险等级，对所述测试漏洞数据进行排序，并基于排序后的测试漏洞数据，生成所述目标软件的安全测试报告。

27、本发明还提供一种电子设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述任一种所述安全测试报告的生成方法。

28、本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述安全测试报告的生成方法。

29、本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述安全测试报告的生成方法。

30、本发明提供的安全测试报告的生成方法及装置，通过确定目标软件的测试漏洞数据，基于语义相似度，将测试漏洞数据与软件漏洞库中的漏洞数据进行文本匹配，确定测试漏洞数据的危险等级，实现了对测试漏洞数据的危险等级的分类。基于测试漏洞数据的危险等级，对测试漏洞数据进行排序，并基于排序后的测试漏洞数据，生成目标软件的安全测试报告。在实现自动生成安全测试报告的过程中，基于危险等级进行排序，实现了安全测试报告中测试漏洞数据的分类展示，提高了测试漏洞数据的分析效率。

技术特征：

1.一种安全测试报告的生成方法，其特征在于，包括：

2.根据权利要求1所述的安全测试报告的生成方法，其特征在于，所述基于语义相似度，将所述测试漏洞数据与软件漏洞库中的漏洞数据进行文本匹配，确定所述测试漏洞数据的危险等级，包括：

3.根据权利要求1所述的安全测试报告的生成方法，其特征在于，所述基于排序后的测试漏洞数据，生成所述目标软件的安全测试报告，包括：

4.根据权利要求3所述的安全测试报告的生成方法，其特征在于，所述将所述排序后的测试漏洞数据输入所述测试报告模板，生成所述目标软件的安全测试报告，进一步包括：

5.根据权利要求1所述的安全测试报告的生成方法，其特征在于，所述生成所述目标软件的安全测试报告之后，还包括：

6.根据权利要求1所述的安全测试报告的生成方法，其特征在于，预先构建所述软件漏洞库，包括：

7.一种安全测试报告的生成装置，其特征在于，包括：

8.一种电子设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述安全测试报告的生成方法。

9.一种非暂态计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至6任一项所述安全测试报告的生成方法。

10.一种计算机程序产品，包括计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至6任一项所述安全测试报告的生成方法。

技术总结
本发明提供一种安全测试报告的生成方法及装置，其中方法包括：对目标软件进行安全测试，确定目标软件的测试漏洞数据；基于语义相似度，将测试漏洞数据与软件漏洞库中的漏洞数据进行文本匹配，确定测试漏洞数据的危险等级；基于测试漏洞数据的危险等级，对测试漏洞数据进行排序，并基于排序后的测试漏洞数据，生成目标软件的安全测试报告。本发明提供的安全测试报告的生成方法及装置，通过语义相似度，将测试漏洞数据与软件漏洞库中的漏洞数据进行文本匹配，确定测试漏洞数据的危险等级，实现了对测试漏洞数据的危险等级的分类。基于危险等级进行排序，实现了安全测试报告中测试漏洞数据的分类展示，提高了测试漏洞数据的分析效率。

技术研发人员：田清鹏,王晓炜
受保护的技术使用者：中银金融科技有限公司
技术研发日：
技术公布日：2024/1/13