(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210996106.6 (22)申请日 2022.08.19 (71)申请人 北京航天驭星科技有限公司 地址 100094 北京市海淀区西北旺镇邓庄 南路南侧、 友谊路西侧的土井村盛景 创业园T01地 块1号楼6层A6 01房 (72)发明人 王柳一　赵磊　董玮　朱太平　 (74)专利代理 机构 北京知果之信知识产权代理 有限公司 1 1541 专利代理师 苏利 (51)Int.Cl. G06F 21/57(2013.01) H04L 9/40(2022.01) H04B 7/185(2006.01) (54)发明名称 API生命周期的安全管理方法及装置 (57)摘要 本公开提供一种API生命周期的安全管 理方 法及装置。 所述方法包括： 获取待测业务平台的 API安全信息； 根据API安全信息， 建立API威胁 库； 根据API威胁库， 对待测业务平台的API进行 静态测试， 获得静态测试结果； 根据API威胁库， 获得API威胁模型； 根据API威胁模型， 对API进行 动态测试， 获得动态测试结果； 根据静态测试结 果和动态测试结果， 获得待测业务平台的API的 风险评估信息。 根据本公开， 可基于静态测试和 动态测试结合的方式获得API的风险评估信息， 获得更丰富的安全信息， 以准确地查找安全漏 洞。 可提升待测业务平台的安全性， 不必通过人 工进行重复工作， 提升测试的准确性和测试效 率， 节约人工成本 。 权利要求书2页 说明书9页 附图2页 CN 115310097 A 2022.11.08 CN 115310097 A 1.一种API 生命周期的安全管理方法， 其特 征在于， 包括： 获取待测业 务平台的API 安全信息； 根据所述API安全信息， 建立API威胁库， 其中， 所述API威胁库包括至少一种 API安全漏 洞信息； 根据所述API 威胁库， 对所述待测业 务平台的API进行静态测试， 获得静态测试 结果； 根据所述API 威胁库， 获得API 威胁模型； 根据所述API 威胁模型， 对所述待测业 务平台的API进行动态测试， 获得动态测试 结果； 根据所述静态测试结果和所述动态测试结果， 获得所述待测业务平台的API的风险评 估信息。 2.根据权利要求1所述的方法， 其特 征在于， 获取待测业 务平台的API 安全信息， 包括： 获取所述待测业 务平台的关系数据库和/或时序数据库的API信息； 根据所述API信息， 获得 所述API安全信息 。 3.根据权利 要求1所述的方法， 其特征在于， 根据所述API安全信息， 建立API威胁库， 包 括： 获取API安全需求信息； 根据所述API安全信息， 确定所述待测业务平台的API针对所述API安全需求信息的安 全措施； 根据所述 安全措施， 获取至少一种API 安全漏洞 信息。 4.根据权利要求1所述的方法， 其特征在于， 根据所述API威胁库， 对所述待测业务平台 的API进行静态测试， 获得静态测试 结果， 包括： 根据所述至少一种API 安全漏洞 信息， 确定所述待测业 务平台中具有安全漏洞的功能； 屏蔽所述具有安全漏洞的功能后， 搜索所述待测业 务平台的安全漏洞； 根据搜索结果， 确定所述静态测试 结果。 5.根据权利 要求1所述的方法， 其特征在于， 根据所述API威胁库， 获得API威胁模型， 包 括： 根据所述至少一种API安全漏洞信息， 与FUZZ测试工具进行对比， 获取与所述至少一种 API安全漏洞 信息匹配的目标 FUZZ测试工具； 根据所述待测业务平台的配置信息， 对所述目标FUZZ测试工具进行配置， 获得所述API 威胁模型。 6.根据权利要求5所述的方法， 其特征在于， 根据所述API威胁模型， 对所述待测业务平 台的API进行动态测试， 获得动态测试 结果， 包括： 根据所述API威胁模型， 调用配置后的目标FUZZ测试工具， 对所述至少一种API安全漏 洞信息对应的安全漏洞进行攻击测试， 获得攻击测试 结果； 根据所述 攻击测试 结果， 获得 所述动态测试 结果。 7.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 在所述风险评估信 息提示存在安全风险的情况下， 启动所述待测业务平台的安全响应 措施。 8.一种API 生命周期的安全管理装置， 其特 征在于， 包括： 安全信息模块， 用于获取待测业 务平台的API 安全信息；权　利　要　求　书 1/2 页 2 CN 115310097 A 2威胁库模块， 用于根据所述API安全信息， 建立API威胁库， 其中， 所述API威胁库包括至 少一种API 安全漏洞 信息； 静态测试模块， 用于根据所述API威胁库， 对所述待测业务平台的API进行静态测试， 获 得静态测试 结果； 威胁模型模块， 用于根据所述API 威胁库， 获得API 威胁模型； 动态测试模块， 用于根据所述API威胁模型， 对所述待测业务平台的API进行动态测试， 获得动态测试 结果； 风险评估模块， 用于根据所述静态测试结果和所述动态测试结果， 获得所述待测业务 平台的API的风险评估信息 。 9.一种API 生命周期的安全管理设备， 其特 征在于， 包括： 处理器； 用于存储处理器可执行指令的存 储器； 其中， 所述处理器被配置为调用所述存储器存储的指令， 以执行权利要求1至7中任意 一项所述的方法。 10.一种计算机可读存储介质， 其上存储有计算机程序指令， 其特征在于， 所述计算机 程序指令被处 理器执行时实现权利要求1至7中任意 一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115310097 A 3