(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211120564.X (22)申请日 2022.09.15 (65)同一申请的已公布的文献号 申请公布号 CN 115221530 A (43)申请公布日 2022.10.21 (73)专利权人 平安银行股份有限公司 地址 518000 广东省深圳市罗湖区深南 东 路5047号 (72)发明人 李松　裴玲　贾凯　 (74)专利代理 机构 深圳市倡创专利代理事务所 (普通合伙) 44660 专利代理师 罗明玉 (51)Int.Cl. G06F 21/57(2013.01) G06F 8/71(2018.01)H04L 9/40(2022.01) H04L 67/02(2022.01) (56)对比文件 CN 110061998 A,2019.07.26 CN 114144761 A,202 2.03.04 CN 112651029 A,2021.04.13 CN 110572399 A,2019.12.13 JP 2018121262 A,2018.08.02 CN 110012092 A,2019.07.12 US 2017124 464 A1,2017.0 5.04 肖微.端口扫描技 术的原理及应用. 《网络安 全技术与应用》 .20 06,(第10期),第18-19页. 审查员 范广坡 (54)发明名称 SDLC流程中接口安全扫描方法、 设备及系统 (57)摘要 本申请提供了一种SDLC流程中接口安全扫 描方法， 包括： 当接收到接口安全扫描指令时， 发 送接口安全扫描请求给接口管 理系统， 以请求所 述接口管理系统提供相应的APP版本需要安全扫 描的接口的信息以获得待匹配的接口信息； 将待 匹配的接口信息在请求报文资产库进行匹配， 所 述请求报文资产库用于存储所述APP的请求报 文， 所述请求报文资产库中的请求报文为对若干 APP的请求报文进行收集而得； 对匹配成功的待 匹配的接口信息所对应的接口进行安全扫描， 放 弃对匹配不成功的带匹配的接口信息所对应的 接口进行安全扫描。 本申请技术方案能够更加高 效的对接口安全 进行扫描。 权利要求书2页 说明书7页 附图5页 CN 115221530 B 2022.12.23 CN 115221530 B 1.一种SDLC流程中接口安全扫 描方法， 其特征在于， 所述SDLC为软件开发生命周期， 所 述SDLC流程中接口安全扫描方法包括： 当接收到接口安全扫描指令时， 发送接口安全扫描请求给接口管理平台， 以请求所述 接口管理平台提供相应的APP版本需要安全扫描的接口的信息以获得待匹配的接口信息， 所述接口安全扫描指 令至少包括相应的APP版本信息， 所述接口管 理平台存储有若干APP不 同版本信息以及每一APP 每一版本对应的接口信息， 所述对应的接口信息包括新增接口和/ 或更新接口； 将待匹配的接口信 息在请求报文资产库进行匹配， 所述请求报文资产库用于存储所述 APP的请求报文， 所述请求报文资产库中的请求报文为对若干APP的请求报文进行收集而 得； 对匹配成功的待匹配的接口信息所对应的接口进行安全扫描。 2.如权利要求1所述的SDLC流程中接口安全扫描方法， 其特征在于， 所述待匹配的接口 信息包括对应的URL， 所述请求报文包括对应的URL， 将待匹配的接口信息在请求报文资产 库进行匹配具体包括： 将所述待匹配的接口信息包含的URL与所述请求报文资产库中的请求报文包含的URL 进行匹配； 其中， 当所述待匹配的接口信息包含的URL匹配到所述请求报文资产库中的请求 报文包含的URL， 则待匹配的接口信息匹配成功， 当所述待匹配的接口信息包含的URL未匹 配到所述请求报文资产库中的请求报文包 含的URL， 则待匹配的接口信息匹配不成功。 3.如权利要求1所述的SDLC流程中接口安全扫描方法， 其特征在于， 所述请求报文资产 库中的请求报文包括各APP的测试请求报文、 或者对各APP所对应的接口进 行爬虫得到的爬 虫报文、 或者网络流量镜像中关于各APP对应的接口的请求报文、 或者各APP请求报文日志 中关于各AP P对应的接口 的请求报文。 4.如权利要求1所述的SDLC流程中接口安全扫描方法， 其特征在于， 所述接口安全扫描 请求还包括认证信息， 所述接口管理平台根据所述认证信息进行认证， 当认证通过后 发送 所述待匹配的接口信息 。 5.一种SDLC流程中接口安全扫描设备， 其特征在于， 所述SDLC流程中接口安全扫描设 备包括： 接口信息获取模块， 用于当接收到接口安全扫描指令时， 发送接口安全扫描请求给接 口管理平台， 以从接口管理平台中获取相应的APP版本需要安全扫描的接口得到待匹配的 接口信息， 所述接口安全扫描指 令至少包括相应的APP版本信息， 所述接口管 理平台存储有 若干APP不同版本信息以及 对应的接口信息， 所述对应的接口信息包括新增接口和/或更新 接口； 匹配模块， 将待匹配的接口信息在请求报文资产库进行匹配， 所述请求报文资产库用 于存储所述APP的请求报文， 所述请求报文资产库中的请求报文为对若干APP的请求报文进 行收集而得； 以及 扫描模块， 对匹配成功的待匹配的接口信息所对应的接口进行安全扫描， 放弃对匹配 不成功的带匹配的接口信息所对应的接口进行安全扫描。 6.如权利要求5所述的SDLC流程中接口安全扫描设备， 其特征在于， 所述待匹配的接口 信息包括对应的URL， 所述请求报文包括对应的URL， 所述匹配模块用于将所述待匹配的接权　利　要　求　书 1/2 页 2 CN 115221530 B 2口信息包含的URL与所述请求报文资产库中的请求报文包含的URL进行匹配； 其中， 当所述 待匹配的接口信息包含的URL匹配到所述请求报文资产库中的请求报文包含的URL， 则待匹 配的接口信息匹配成功， 当所述待匹配的接口信息包含的URL未匹配到所述请求报文资产 库中的请求报文包 含的URL， 则待匹配的接口信息匹配不成功。 7.如权利要求5所述的SDLC流程中接口安全扫描设备， 其特征在于， 所述请求报文资产 库中的请求报文包括各APP的测试请求报文、 或者对各APP所对应的接口进 行爬虫得到的爬 虫报文、 或者网络流量镜像中关于各APP对应的接口的请求报文、 或者各APP请求报文日志 中关于各AP P对应的接口 的请求报文。 8.一种SDLC流程中接口安全扫描系统， 其特征在于， 所述接口安全扫描系统包括： 接口 安全扫描平台、 接口管理平台、 以及请求报文资产库， 其中： 所述接口安全扫描平台包括： 接口信息获取单元， 用于当接收到接口安全扫描指令时， 发送接口安全扫描请求给接 口管理平台， 以从接口管理平台中获取相应的APP版本需要安全扫描的接口得到待匹配的 接口信息， 所述接口安全扫描指 令至少包括相应的APP版本信息， 所述接口管 理平台存储有 若干APP不同版本信息以及 对应的接口信息， 所述对应的接口信息包括新增接口和/或更新 接口； 匹配单元， 将待匹配的接口信息在请求报文资产库进行匹配， 所述请求报文资产库用 于存储所述APP的请求报文， 所述请求报文资产库中的请求报文为对若干APP的请求报文进 行收集而得； 以及 扫描单元， 对匹配成功的待匹配的接口信息所对应的接口进行安全扫描。 9.如权利要求8所述的SDLC流程中接口安全扫描系统， 其特征在于， 所述接口安全扫描 系统还包括项目管理平台和研发流 程管理平台， 所述项目管理平台包括： 任务获取 单元， 用于获取相应的AP P的需求任务； 任务识别单 元， 用于识别所述需求任务中的开发任务； 所述研发流 程管理平台包括： 接收单元， 用于接收项目管理平台下发的开发任务； 接口识别单 元， 用于识别所述 开发任务中涉及的对应接口。 10.如权利要求9所述的SDLC流程中接口安全扫描系统， 其特征在于， 所述研发流程管 理平台还包括同步单元， 所述同步单元用于将APP的接口信息同步给所述接口管理平台 以 及当接口安全扫描平台接收到相应APP版本的扫描任务时， 将相应APP版本的接口信息同步 给所述接口安全扫描平台。权　利　要　求　书 2/2 页 3 CN 115221530 B 3