一种研发人员安全能力确定方法、装置及系统与流程

1.本技术涉及研发人员安全能力的技术领域，尤其是涉及一种研发人员安全能力确定方法、装置及系统。


背景技术：

2.随着社会的不断发展和进步，对研发人员的能力要求也在逐步提升。研发人员的自身能力不一定能跟上发展的脚步，因此通常让研发人员参加课程训练，通过对应的训练课程提升研发人员的相应能力。
3.传统的课程训练采用的是普适化课程，适用于所有的研发人员，但实际上团队内各个研发人员的安全能力是有层次差异的，当不同的研发人员需要不同的安全能力提升效果时，无法进行针对性或者差异化的课程训练，造成对已掌握课程相应能力的部分研发人员的时间浪费，影响培训效果且降低工作效率。


技术实现要素：

4.为了对确定研发人员的安全能力，进行针对性的课程推送，本技术提供一种研发人员安全能力确定方法、装置及系统。
5.本发明的上述发明目的是通过以下技术方案得以实现的：一种研发人员安全能力确定方法，包括以下步骤：获取研发人员在当前开发项目中的漏洞信息；根据所述漏洞信息结合评级算法，获取所述研发人员的安全能力值；将所述安全能力值按照预设规则进行分组，形成至少一个安全能力组；根据所述安全能力组，获取相应的培训课程并推送给对应的研发人员。
6.通过采用上述技术方案，当研究人员在项目开发中出现漏洞信息时，研发人员需要进行学习，此时由于每个研发人员的漏洞信息是不一样的，有的研发人员的漏洞信息比较少，不需要进行课程的学习，有的研发人员漏洞信息较多，需要进行课程学习，因此根据漏洞信息结合算法实现研发人员的评级，获取了研发人员的评级结果，通过的对研发人员的评级进行排序，形成至少一个安全能力组，以获取研发人员的安全能力，通过研发人员的安全能力确定，确定哪些研发人员需要进行培训，并将对应的课程信息推送到指定的研发人员，是研发人员可以对针对性的各种进行学习，在确定学习能力的同时，针对性的提高研究人员的部分能力。
7.在一较佳示例中可以进一步配置为：所述根据所述漏洞信息结合评级算法，获取所述研发人员的安全能力值的步骤包括：获取研发人员的初始分值；根据所述漏洞信息结合扣分规则，生成对应研发人员的扣除分值；通过初始分值、扣除分值结合分值算法得到研发人员的安全能力值。
8.通过采用上述技术方案，进行分值的设置，使得通过分值的设置可以获得研发人
员的评级结果，其中给每个研发人员配置初始分数，然后根据漏洞信息生成每个研发人员需要扣除的分数，在初始分值的基础上综合扣除分值，得到每个研发人员的评级分数。
9.在一较佳示例中可以进一步配置为：所述根据所述漏洞信息结合扣分规则，生成对应研发人员的扣除分值的步骤之后包括：计算其它分值；所述通过初始分值、扣除分值结合分值算法得到研发人员的安全能力值具体为：通过初始分值、扣除分值和其它分值结合分值算法得到研发人员的安全能力值。
10.通过采用上述技术方案，根据业务人员前期的个人能力不同，配置一个由能力决定的其他能力分值，然后将初始分值、扣除分值和其他能力分值进行综合，在初始分值的基础上，减去扣除分值，再加上其他能力分值，得到每个研发人员的评级分数。
11.在一较佳示例中可以进一步配置为：所述将所述安全能力值按照预设规则进行分组，形成至少一个安全能力组的步骤包括：将所述安全能力值按照数值大小进行排序，得到安全能力列表；基于所述安全能力列表，按照预设分组规则，形成至少一个安全能力组。
12.通过采用上述技术方案，将获得的研发人员的安全能力值进行排序，得到一个安全能力列表，然后根据预设的规则，将安全能力裂变进行分组，使得每个研发人员的安全能力都能由安全能力分组展示出来，然后根据与其他研发人员的对比，确定每个研发人员需要学习的课程。
13.在一较佳示例中可以进一步配置为：所述根据所述安全能力组，获取相应的培训课程并推送给对应的研发人员的步骤包括：根据所述安全能力组，获取对应的培训课程组；从所述培训课程组中选择与所述漏洞信息对应的所述培训课程；将所述培训课程推送给与所述漏洞信息对应的研发人员。
14.通过采用上述技术方案，每个漏洞信息与课程一一对应或者多个漏洞信息对应一个课程，当对研发人员的安全能力确定后，根据当前研发人员存在的漏洞信息，找到对应的课程，并推送课程给相关人员进行培训。
15.在一较佳示例中可以进一步配置为：所述从所述培训课程组中选择与所述漏洞信息对应的所述培训课程具体为：获取所述漏洞信息的漏洞名称；根据所述漏洞名称与预设对应关系，获取与所述漏洞信息相对应的培训课程。
16.通过采用上述技术方案，工作人员通过平台进行漏洞信息与课程之间关系的设置，设置的主要原则是基于漏洞的名称与课程的内容进行对应，当检测到漏洞信息的名称后，在课程内容中找到相关联的信息，作为二者关联的路径，当漏洞信息出现并确定后，只需要调用关联关系，可以直接得到课程。
17.在一较佳示例中可以进一步配置为：所述通过研发人员的安全能力确定研发人员需要进行的培训，并进行课程的推送的步骤之后包括：获取所述研发人员的当前项目；如果项目发生改变，返回初始步骤；如果项目没有发生改变，针对各个研发人员，获取其所述漏洞信息的出现次数；若超过次数阈值，则再次推送相应的所述培训课程至研发人员。
18.通过采用上述技术方案，由于研发人员的项目是经常改变的，所以要对项目进行
检测，如果项目发生改变，那么研发人员的评级可能改变，此时同样的漏洞信息再次出现时，不一定适用于其他项目的情况，此时需要先从头开始进行研发人员的评级，并提醒研发人员该漏洞信息再次出现；如果项目没有发生改变，同样的漏洞信息再次出现，那么不需要进行评级，直接根据之前的结果再次推送课程培训即可。
19.在一较佳示例中可以进一步配置为：所述若超过次数阈值，则再次推送相应的所述培训课程至研发人员具体为：若超过次数阈值，则获取研发人员对于所述培训课程的学习次数，以及所述培训课程的推送次数；比较所述学习次数和所述推送次数；若所述学习次数小于或等于所述推送次数，则再次推送相应的所述培训课程及警示信息至研发人员。
20.通过采用上述技术方案，如果项目没有发生改变时，研发人员可以自发主动的进行课程学习，此时不会进行推送次数的累计，学习次数如果大于推送次数，那么此时与漏洞信息无关，属于研发人员的个人提升，因此不会有警示信息。
21.一种研发人员安全能力确定装置，包括：存储器，包括研发人员安全能力的确定程序、判断当前项目的程序以及推动培训课程的程序；处理器，在进行研发人员安全能力确定时执行上述的方法。
22.通过采用上述技术方案，通过存储器进行各种程序的存储，在进行研发人员安全能力确定时，调用存储器进行研发人员安全能力的确定，并主送推送培训课程，当项目类型发生改变时，通过处理器进行判断后，再次执行上述步骤进行处理。
23.一种研发人员安全能力确定系统，包括：服务器，包括上述的装置，用于进行研发人员安全能力的确定；数据库，用于存储课程信息；若干终端，与服务器通讯连接，用于上传研发人员评级信息，并与服务器交互接收课程信息。
24.通过采用上述技术方案，数据库中存储有课程信息，服务器内设置有上述的装置，通过装置进行整个研发人员能力确定方法的执行，然后与数据库建立链接，将课程信息推送到指定的终端，给到指定的研发人员进行学习。
25.综上所述，通过获取研发人员在当前项目开发中出现的漏洞信息，将漏洞信息结合算法后，对研发人员进行安全能力确定，然后对研发人员的安全能力进行排序，根据预设的规则对安全能力进行分组以获取研发人员的安全能力，通过研发人员的安全能力的不同，推送相应的课程信息，使课程可以具体针对每个人，不会对其他研发人员的时间造成浪费。
附图说明
26.图1是本技术实施例中研发人员安全能力确定系统的结构框图。
27.图2是本技术实施例中研发人员安全能力确定方法的流程图。
28.图3是图2中步骤s200的方法流程图。
具体实施方式
29.以下结合附图1
‑
3对本发明作进一步详细说明。
30.本具体实施例仅仅是对本发明的解释，其并不是对本发明的限制，本领域技术人员在阅读完本说明书后可以根据需要对本实施例做出没有创造性贡献的修改，但只要在本发明的权利要求范围内都受到专利法的保护。
31.参照图1，研发人员安全能力确定方法包括以下步骤：步骤s100，获取研发人员在当前开发项目中的漏洞信息；这里的漏洞信息可以是研究人员负责的项目中的纰漏，例如一个网页中存在的不安全因素有几个，都可以作为漏洞信息；步骤s200，根据漏洞信息结合评级算法，获取研发人员的安全能力值；步骤s300，将安全能力值按照预设规则进行分组，形成至少一个安全能力组；步骤s400，根据安全能力组，获取相应的培训课程并推送给对应的研发人员；步骤s500，获取研发人员的当前项目；步骤s600，如果项目发生改变，返回初始步骤；步骤s700，如果项目没有发生改变，针对各个研发人员，获取其漏洞信息的出现次数；步骤s800，若超过次数阈值，则再次推送相应的培训课程至研发人员。
32.若超过次数阈值，则再次推送相应的培训课程至研发人员具体为：若超过次数阈值，则获取研发人员对于培训课程的学习次数，以及培训课程的推送次数；比较所学习次数和推送次数；若学习次数小于或等于推送次数，则再次推送相应的培训课程及警示信息至研发人员。
33.由于每个项目中研发人员的能力不同，每个研发人员擅长的领域也不同，因此工作人员的安全能力确定不能适用于所有的项目，需要实时进行项目是否变化的判断，及时做出调整。
34.由于每个项目之间存在区别，每个项目的评判标准不同，因此每个项目中研发人员的安全能力评级不同，当项目发生改变时，不能适用之前的评级结果，因此需要重新从步骤s200开始，获取新的漏洞信息，进行新的评级后，再对每个研发人员的安全能力进行确定。当项目没有改变时，同样的漏洞再次存在，还是按照之前的安全能力确定结果，再次进行课程推送，这样的课程推送每次都要对研发人员进行警示，让研发人员注意学习。但是如果研发人员自主进行课程的重复学习，此时学习次数累加，当前学习次数大于当前的推送次数，此时与安全能力的确定程序无关，甚至可以作为其他能力分值的加分项目。当学习次数小于推送次数时，说明有推送的课程研发人员没有进行学习，因此此时需要再次进行推送。当一个项目完成后，将学习次数与推送次数的数据保存，然后重新计数。
35.参照图2，步骤s200，根据漏洞信息结合评级算法，获取研发人员的安全能力值的步骤包括：步骤s210，获取研发人员的初始分值；初始分值作为一个基准值，所有的分数增减都是基于这个值进行的。
36.步骤s220，根据漏洞信息结合扣分规则，生成对应研发人员的扣除分值；扣除分值是对研发人员安全能力确定的最重要的分值，主要是根据bug出现的情况进行分数扣除。
37.步骤s230，计算其它分值；
这个是对研发人员能力进行辅助的一个分值。
38.步骤s240，通过初始分值、扣除分值和其它分值结合分值算法得到研发人员的安全能力值。
39.在本实施例中研发人员的初始分值设置为10分，项目中存在严重或高等级bug则扣除分值5分，项目中存在中或低等级bug则扣除分值2分，此时可能根据不同研发人员的资历或者能力进行一定分值的增加，例如修复bug能力较强可以得到能力分值1分。此时通过整个界面得到每个研发人员的评级。由于研发通常是分组进行的，因此有的项目中，存在几个bug，就对一个组内所有的研发人员进行相同的分数扣除，这样的分数扣除可以直接由管理员进行。此时为了避免同组内的水平不同，可以通过其他分值对同一组内的人进行区分，给能力较强的人进行一些分数的增加，例如有的研发人员侧重的部分bug较少，可以加1分，或者贡献较多整体问题不大，可以再酌情加分，同组的人通过这种方式被区分开，使课程推送更加有针对性且更加合理。
40.步骤s300，将安全能力值按照预设规则进行分组，形成至少一个安全能力组的步骤包括：步骤s310，将安全能力值按照数值大小进行排序，得到安全能力列表；步骤s320，基于安全能力列表，按照预设分组规则，形成至少一个安全能力组。
41.将每个研发人员的得分进行一个排序，在本实施例中，按照从高到低的分数对研发人员进行排序，分数低的人作为安全能力低的人，可以根据分值进行区域的划分，0
‑
3分需要学习三门课程，4
‑
6分需要学习两门课程。7
‑
8分需要学习一门课程，8分以上不需要进行课程学习，根据这种规则以及漏洞信息的名称，进行相应的课程推送。
42.步骤s400，根据安全能力组，获取相应的培训课程并推送给对应的研发人员的步骤包括：步骤s410，根据安全能力组，获取对应的培训课程组；步骤s420，从培训课程组中选择与漏洞信息对应的培训课程；步骤s430，将培训课程推送给与漏洞信息对应的研发人员。
43.培训课程组中选择与漏洞信息对应的培训课程具体为：获取漏洞信息的漏洞名称；根据漏洞名称与预设对应关系，获取与漏洞信息相对应的培训课程漏洞信息与课程的对应关系是通过sdlc平台预先设置的，对应关系的依据是漏洞名称与课程内容进行对应。例如存在一个漏洞信息为信息安全漏洞，此时推送含有怎么规避信息安全漏洞方法的课程。可以是一个漏洞信息对应一个课程，也可以是一个漏洞信息对应多个课程，多个漏洞信息对应一个课程。进一步的可以根据课程内容中与漏洞信息对应的部分的占比，进行课程的排序，预设一个规则，例如取最相关的前两名课程作为研发人员需要学习的课程，也可以根据管理员的安排进行课程的排列和推送。
44.可以应用于以下一种场景，存在a、b、c三组研发小组，每个研发小组内均有三个人，分别是a1、a2、a3、b1、b2、b3、c1、c2、c3，其中a组的研发存在1个低级漏洞和1个高级漏洞，b组研发中存在1个低级漏洞和1个中级漏洞，c组研发中存在1个低级漏洞。此时a组的扣除分值为7分，b组的扣除分值为4分，c组的扣除分值为2分。
45.此时a组中a1有突出的贡献，且工作中主要侧重的部分未出现bug，a1获得加分值2分；b组中的b1经常自主学习课程，获得加分值1分。
46.将上述信息通过服务器获取和人工填写后，a组的结果为：a1获得5分，a2和a3均为3分。b组的结果为：b1获得7分，b2和b3均为6分。c组的结果为：c1、c2和c3均为8分。
47.此时进行评级排序，顺序为c1=c2=c3>b1>b2=b3>a1>a2=a3。此时根据预设的学习规则，a2和a3需要进行三门课程的学习，a1、b2和b3需要进行两门课程的学习，b1、c2和c3需要进行一门课程的学习。
48.过了一段时间，在同样的项目中，检测到a2又产生了同样的漏洞信息，此时直接根据之前的评级结果进行课程推送，并提醒a2认真学习并在以后的工作中规避错误。
49.当几个小组更换项目之后，由于每个研发小组擅长的领域不同，有的项目中可能不容易出现bug，因此之前的评级就不适用了，此时根据项目产生的bug再次进行研发人员的评级，确定在不同项目中研发人员的能力，然后再进行课程的推送，使每个研发人员都能根据自己的弱项进行学习，使研发人员的能力更加全面，使课程培训更加具有针对性，避免了集体时间的浪费。
50.参照图3，研发人员安全能力确定系统包括：服务器、数据库和若干终端。
51.服务器，用于进行研发人员安全能力的确定，包括存储器和处理器，存储器包括研发人员安全能力的确定程序、判断当前项目的程序以及推动培训课程的程序。处理器，在进行研发人员安全能力确定时执行上述的方法。服务器连接若干终端和数据库，服务器可以调用并推送数据库中的课程信息，服务器将研发人员评级以及排序结果显示出来后，将课程信息推送到终端供研发人员学习。
52.数据库中存储有课程信息，其中对研发人员的漏洞信息与课程信息进行预设使之对应。
53.若干终端均与服务器通讯连接，用于上传研发人员评级信息，并与服务器交互接收课程信息。这里的终端可以是每个研发人员的电脑或者手机，给每个研发人员一个sdlc平台的账号，然后统一通过sdlc平台进行课程信息的推送，研发人员的漏洞信息可以自己进行填写，也可以通过统一的管理员进行填写，使研发人员有唯一确定的途径进行课程的获取。