与此同时，非版本迭代的网站版本信息还可以帮助我们了解这个漏洞出现在网上的时间，对

比一下这个时期是否进行了内部安全性测试，从而查看安全性测试的质量。在实现底层资产对

接和完善漏洞闭环流程的同时，还建立了漏洞积分机制。该评分可以帮助定义部门和发展安全

性指标：将漏洞评分累积到漏洞负责人/部门，作为判断是否需要重新参加安全培训的依据，这

是一种“控制手段”，类似于考驾照，扣分，需要重新学习。除此之外，它还可以作为应用的安

全风险值模型的组成部分，为后续应用构建安全画像奠定基础。
 

安全运行平台扫描工具集成。

 

 

扫描是“检验阶段”的重要组成部分，我们自主开发了几种安全检测工具：

 

(1)基于流量的被动扫描工具(构建被动漏洞扫描平台)基于源代码的扫描仪工具。
 

 

基于字节码的扫描工具(IAST/RASP在企业实践中的快速部署新思路)作为各种扫描工具的前端

支持的安全操作平台，它可以收集扫描授权地址，设定扫描规则，显示扫描漏洞数据，对数据

进行重算，并制定扫描漏洞处理流程(包括自动处理和人工处理)。如何对这些工具扫描结果进

行过滤，从而形成高质量的数据导入漏洞模块？那是第二点。

 

 

对于误报问题，既要研发人员不断优化规则，又要有合理的流程，以分析运行结果。因此，针

对工具扫描出的漏洞，我们将其分为三个处理阶段：第一，规则刚上线时，由于误报较多，此

时扫描到的漏洞会被存储在单独的扫描漏洞模块中，由负责规则的安全操作人员人工初步判断

是否存在漏洞，并将漏洞提到漏洞审核模块(部分系统不能自动对应资产的漏洞，由人工对资产

进行定位)，再由各业务部门的安全工程师对漏洞审核模块的漏洞进行审核和处理(可报告/合并

报告/忽略/关联历史漏洞等)，最后提到漏洞管理模块，最后提到漏洞管理模块，交给开发人员

进行确认和修复，进入已建立的漏洞处理流程。

 

规则稳定运行一段时间后，会自动将扫描到的漏洞推入漏洞审核，直接由各个业务部门的安全

工程师进行审核处理，再提交给漏洞管理模块。

 

 

在扫描到漏洞的准确率达到一定水平后，将漏洞审计中的漏洞，由系统自动提交到漏洞管理系

统，即直接把漏洞传给开发人员进行确认和修复，不需要安全工程师先进行审核。