一种DevOps流水线超融合部署安全检测系统及方法

技术领域

本申请涉及应用安全技术领域，具体涉及一种DevOps流水线超融合部署安全检测系统及方法。

背景技术

DevOps用于开发、测试、运维一体化，其中持续集成是开发部署的重要实践，即团队开发成员频繁的进行集成操作，每次集成都通过自动化的构建(包括编译，发布，自动化测试)来验证，来发现集成错误。该过程可以大大减少开发产生的问题，能够更快的开发迭代软件。持续交付在持续集成的基础上，将集成后的代码部署到生产环境。

为达到持续集成，系统引入流水线，将整个集成工作分解成多阶段多任务。通过可重复可执行的步骤来实现集成的工作，给开发团队提供直观的部署反馈，更易实时掌握当前节点动态，发生问题时能轻松方便的定位并处理。

在部署应用时，系统可以将安全因素融合进来，实现安全前移，而不是等到测试阶段再进行检验。现有软件在实现应用部署时，依托代码自身的管理平台，未能实现对引用第三方依赖安全检测。

发明内容

为了解决以上技术问题，本申请提供了一种DevOps流水线超融合部署安全检测系统及方法，所述检测系统包括：依赖监测模块、依赖检索模块、依赖分析模块、核查修正模块；

所述依赖监测模块用于监测待发布应用的依赖包；

所述依赖检索模块用于接收所述依赖包，检索所述依赖包并核对安全性，得到所述依赖信息的来源；

所述依赖分析模块用于基于所述依赖信息的来源，将所述依赖信息私有化公布至依赖管控库；

所述核查修正模块用于判断所述依赖管理库中的依赖信息是否需要修正。

可选的，所述依赖监测模块包括：打包子模块和传输子模块；

所述打包子模块用于将项目依赖包的信息进行收集，获取依赖信息；

将所述依赖信息发送给所述依赖检索模块。

所述依赖信息隶属于依赖包，为依赖包的属性信息。

可选的，所述依赖检索模块包括：依赖信息匹配子模块和依赖信息来源子模块；

所述依赖信息匹配子模块用于将获取的所述依赖信息匹配公司级依赖管控库；

所述依赖信息来源子模块用于基于所述依赖信息匹配子模块的匹配结果确定所述依赖信息的来源。

可选的，所述依赖包的来源分为自研和第三方，基于所述依赖信息匹配子模块的匹配结果确定所述依赖信息的来源具体包括：

当依赖包为第三方提供时，所述依赖检索模块检索第三方官网核对信息并获得依赖来源信息；

当依赖包为自研，在公司信息库中检索依赖来源信息。

可选的，所述依赖分析模块包括第三方信息分析子模块和内部信息分析子模块；

所述第三方信息分析子模块用于基于第三方官网获取的依赖来源信息进行标识分析；

所述内部信息分析子模块用于基于公司信息库获得的依赖来源信息进行内部信息库分析。

可选的，所述基于第三方官网获取的依赖包来源信息进行标识分析具体包括：

当所述结果信息中存在负面描述的关键字时，所述依赖检索装置发送所述结果信息到管理员，进行处理，当结果信息中不存在负面描述的关键字，标识通过，返回流水线。

可选的，所述基于公司信息库获得的依赖来源信息进行内部信息库分析具体包括：

当所述依赖包为自研时，所述依赖检索模块检索本公司信息库，通知管理员，通过自研二方库发布装置，将依赖信息私有化发布至公司级依赖管理库；

当依赖包为自研，但是在公司特定信息库的，获取依赖结果信息，将所述依赖结果信息输入第三方信息分析子模块进行标识分析。

可选的，所述核查修正模块基于标识分析结果，判断所述依赖管理库中的依赖信息是否需要修正具体包括：

管理员核查依赖结果信息，判断是否需要修正；

当需要修正时，执行依赖信息修正，录入所述依赖信息到公司级依赖管控库；

当无需修正时，通知项目人员，依赖包违规。

本申请还提供一种DevOps流水线超融合部署安全检测方法，所述检测方法包括：

监测待发布应用的依赖包；

接收所述依赖包，检索所述依赖包并核对安全性，得到所述依赖信息的来源；

基于所述依赖信息的来源，将所述依赖信息私有化公布至依赖管控库；

判断所述依赖管理库中的依赖信息是否需要修正。

与现有技术相比，本申请的有益效果为：

在应用部署时，增加对第三方依赖版本监管，并通过管理有效控制不安全因素对本应用的危害，增强应用的可靠性。

附图说明

为了更清楚地说明本申请的技术方案，下面对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例的一种DevOps流水线超融合部署安全检测系统及方法的系统结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

为使本申请的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本申请作进一步详细的说明。

实施例一：

在本实施例中，如图1所示，一种DevOps流水线超融合部署安全检测系统及方法，检测系统包括：依赖监测模块、依赖检索模块、依赖分析模块、核查修正模块；

依赖监测模块用于监测待发布应用的依赖包；

依赖监测模块包括：打包子模块和传输子模块；

打包子模块用于将项目依赖包的信息进行收集，获取依赖信息；

将依赖信息发送给所述依赖检索模块。

打包子模块对项目依赖包的信息进行收集获取到依赖包J1、J2、J3....；

传输子模块用于将依赖包J1、J2、J3....信息发送给依赖检索装置。

依赖检索模块用于接收依赖信息，检索所述依赖信息并核对安全性，得到所述依赖信息的来源；

当依赖包为自研，在公司信息库中检索依赖包来源信息。

当依赖包存在与公司级依赖库，则获取依赖包结果信息JR1、JR2、JR3....，然后进入依赖分析模块；当依赖包不存在与公司级依赖库，进入依赖检索模块。

依赖检索模块包括：依赖信息匹配子模块和依赖包来源子模块；

依赖信息匹配子模块用于将获取的所述依赖包J1、J2、J3....匹配公司级依赖管控库；

依赖信息来源子模块用于基于所述依赖信息匹配子模块的匹配结果确定所述依赖包的来源。

依赖包的来源分为自研和第三方，基于依赖信息匹配子模块的匹配结果确定所述依赖包的来源具体包括：

当依赖包为第三方提供时，依赖检索模块检索会向第三方官网核对信息并获得依赖包来源信息和依赖包结果信息JR1、JR2、JR3...；

当依赖包为自研时依赖检索模块会定向检索本公司特定信息库，然后进入依赖分析模块。

依赖分析模块用于基于所述依赖信息的来源，将所述依赖信息私有化公布至依赖管控库；

依赖分析模块包括第三方信息分析子模块和内部信息分析子模块；

第三方信息分析子模块用于基于第三方官网获取的依赖来源信息进行标识分析，获得依赖结果信息JR1、JR2、JR3...；

内部信息分析子模块用于基于公司信息库获得的依赖来源信息进行内部信息库分析，即定向检索本公司特定信息库。

基于第三方官网获取的依赖来源信息进行标识分析具体包括：

当依赖结果信息JR1、JR2、JR3...中存在负面描述的关键字“风险，不推荐”时，依赖检索装置发送依赖结果信息JR1、JR2、JR3...到管理员，进行人工处理，当依赖结果信息JR1、JR2、JR3...中不存在负面描述的关键字，标识通过，返回DevOps流水线。所述人工处理内容包括：根据检索装置生成的不通过指标信息，判断是否存在风险，若明确没有风险，则可以直接标识依赖包为安全状态。

基于公司信息库获得的依赖来源信息进行内部信息库分析具体包括：

当依赖包为自研时，但是不在本公司特定信息库的，通知管理员，通过自研二方库发布装置，将依赖信息私有化发布至公司级依赖管理库，重新进入依赖监测模块；

当依赖包为自研，但是在公司特定信息库的，获取依赖包结果信息JR1、JR2、JR3...，将所述依赖结果信息输入第三方信息分析子模块进行标识分析。

所述核查修正模块用于判断所述依赖管理库中的依赖信息是否需要修正。

核查修正模块基于标识分析结果，判断依赖管理库中的依赖信息是否需要修正具体包括：

管理员核查依赖结果信息，判断是否需要修正；

当需要修正时，执行依赖信息修正，录入依赖信息到公司级依赖管控库，重新进入依赖监测模块；

当无需修正时，通知项目人员，依赖包违规，不可用，请修改后重新进入依赖监测模块。

实施例二

本申请还提供一种DevOps流水线超融合部署安全检测方法，所述检测方法包括：

监测待发布应用的依赖包；

接收所述依赖包，检索所述依赖包并核对安全性，得到所述依赖信息的来源；

基于所述依赖信息的来源，将所述依赖信息私有化公布至依赖管控库；

判断所述依赖管理库中的依赖信息是否需要修正。

本发明通过将依赖监测装置嵌入DevOps流水线，在流水线启动时优先执行该装置，根据装置检测返回的结果，判断第三方依赖是否安全。

使用依赖监测装置监测待发布应用的依赖信息，将其嵌入至流水线部署环节，通过监测待发布应用的所有依赖信息，收集信息发送至依赖检索装置，通过反馈信息判断部署是否继续进行

进一步的，当应用的所有反馈信息为正向时，运行应用继续部署，并记录检测信息

当应用中的反馈信息存在负向时，通过邮件通知管理员进行人工核对并线下处理。

使用依赖检索装置，检索所述依赖信息并核对安全性，得到所述依赖信息的来源。其作用为对其传递软件依赖包信息后，会自动检索依赖包官方信息并核对安全性，返回核对结果进一步的依赖检索装置，根据关键字区分依赖包是来自第三方还是公司自研。

当依赖信息为第三方时检索装置会定向检索第三方官网核对信息；

当依赖信息为自研时检索装置会定向检索本公司特定信息库；

以上动作完成后会将检索到的全部依赖信息纳入公司级依赖管控库

使用自研库发布装置将依赖信息私有化公布至依赖管控库，其作用为当本公司产生特定依赖包时，通过自研二方库发布装置，将依赖信息私有化发布至公司级依赖管控库。

以上所述实施例仅是对本申请优选方式进行的描述，并非对本申请的范围进行限定，在不脱离本申请设计精神的前提下，本领域普通技术人员对本申请的技术方案做出的各种变形和改进，均应落入本申请权利要求书确定的保护范围内。