CN109446078A - 代码测试方法及装置、存储介质、电子设备 - Google Patents
代码测试方法及装置、存储介质、电子设备 Download PDFInfo
- Publication number
- CN109446078A CN109446078A CN201811217802.2A CN201811217802A CN109446078A CN 109446078 A CN109446078 A CN 109446078A CN 201811217802 A CN201811217802 A CN 201811217802A CN 109446078 A CN109446078 A CN 109446078A
- Authority
- CN
- China
- Prior art keywords
- information
- code
- object code
- library
- path
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
- G06F11/3608—Software analysis for verifying properties of programs using formal methods, e.g. model checking, abstract interpretation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
- G06F11/3612—Software analysis for verifying properties of programs by runtime analysis
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本公开是关于一种代码测试方法、装置、存储介质及电子设备,属于软件测试技术领域,该方法包括:获取目标代码的抽象语法树,并从所述抽象语法树得到至少一个静态信息;通过所述至少一个静态信息对所述目标代码进行分析,得到每个静态信息对应的分析结果;将每个所述分析结果与每个静态信息关联的参考信息进行比较,以判断所述目标代码是否符合预设条件。该方法通过静态信息对目标代码进行测试,提高了测试准确率。
Description
技术领域
本公开涉及软件测试技术领域,具体而言,涉及一种代码测试方法、代码测试装置、计算机可读存储介质以及电子设备。
背景技术
在对程序文件进行编写或者是调试的过程中,对程序文件进行测试能够保证程序文件的准确率。
相关技术中,在对程序文件进行测试时,一般都是静态测试。静态测试指的是不运行被测程序文件本身,仅通过分析或者是检查源程序的语法、结构、过程、接口等来检查程序文件中是否存在语法问题以及是否符合代码的编写规范。
然而,随着软件行业的快速发展,由于静态代码检查结果具有局限性,会导致代码质量不可控的问题或者是不可预期的破坏性结果;另外,静态代码检查时由于只是分析语法或者是编写规范,对代码进行检测的效率较低、准确率较差。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种代码测试方法、代码测试装置、计算机可读存储介质以及电子设备,进而至少在一定程度上克服由于相关技术的限制和缺陷而导致的代码检测准确率低的问题。
根据本公开的一个方面,提供一种代码测试方法,包括:获取目标代码的抽象语法树,并从所述抽象语法树得到至少一个静态信息;通过所述至少一个静态信息对所述目标代码进行分析,得到每个静态信息对应的分析结果;将每个所述分析结果与每个静态信息关联的参考信息进行比较,以判断所述目标代码是否符合预设条件。
在本公开的一种示例性实施例中,所述预设条件包括目标代码中使用未公开接口、所述目标代码包括禁用库或所述目标代码的输出为敏感词。
在本公开的一种示例性实施例中,获取所述目标代码的抽象语法树包括:在安装软件开发工具包的虚拟环境下,对基于所述软件开发工具包开发的所有代码进行遍历,得到文件目录树;根据所述文件目录树,得到所述目标代码的所述抽象语法树。
在本公开的一种示例性实施例中,所述至少一个静态信息包括模块信息、类别信息、函数信息以及赋值信息,通过所述至少一个静态信息对所述目标代码进行分析,得到每个静态信息对应的分析结果包括:对所述模块信息进行遍历,直到获取到所述目标代码所使用的库;和/或对所述函数信息以及类别信息进行分析,判断所述目标代码使用的接口;和/或将所述赋值信息转化成动态代码,并通过所述动态代码获得所述目标代码的输出内容。
在本公开的一种示例性实施例中,对所述模块信息进行遍历,直到获取到所述目标代码所使用的库包括:若判断所述模块信息中的路径变量为空,则确定所述模块信息使用的库为标准库;若所述路径变量不为空且所述路径变量在软件开发工具包的安装路径下,则确定所述模块信息使用的库为软件开发工具包中的库;若所述路径变量不在软件开发工具包的安装路径下且所述路径变量不在目标代码的路径下,则确定所述模块信息使用的库为第三方库;若所述路径变量在所述目标代码的路径下,则重新获取所述路径变量对应的代码文件中的抽象语法树,并对重新获取的所述抽象语法树中的模块信息中的路径变量进行判断,直至获取到所述目标代码中所述模块信息使用的库为止。
在本公开的一种示例性实施例中,将每个所述分析结果与每个静态信息关联的参考信息进行比较,以判断所述目标代码是否符合预设条件包括:将所述目标代码中所述模块信息使用的库与参考禁用库进行对比;若所述模块信息使用的库与所述参考禁用库匹配,则判定所述目标代码符合所述预设条件。
在本公开的一种示例性实施例中,对所述函数信息以及类别信息进行分析,判断所述目标代码使用的接口包括:判断所述函数信息中的路径变量是否在软件开发工具包的安装路径下;若所述路径变量不在软件开发工具包的安装路径下,则确定所述函数信息为第三方函数;若所述路径变量在软件开发工具包的安装路径下,则确定所述目标代码的函数信息使用的接口。
在本公开的一种示例性实施例中,将每个所述分析结果与每个静态信息参考信息进行比较,以判断所述目标代码是否符合预设条件包括:将所述函数信息使用的接口与参考接口进行对比;若所述函数信息使用的接口与所述参考接口不匹配,则判定所述目标代码符合所述预设条件。
在本公开的一种示例性实施例中,将所述赋值信息转化成动态代码,并通过所述动态代码获得所述目标代码的输出内容包括:判断所述赋值信息中的变量是否为预设类型;若所述赋值信息中的变量为所述预设类型,则获取变量名和输入参数,所述预设类型包括表示通过运算符号或通过函数对字符串进行操作的类型;根据所述变量名获取用于表示字符串常量操作的功能函数,并根据所述功能函数得到字符串,以将所述字符串作为所述目标代码的输出内容。
在本公开的一种示例性实施例中,将每个所述分析结果与每个静态信息关联的参考信息进行比较,以判断所述目标代码是否符合预设条件包括:将所述输出内容与参考敏感词库进行对比;若所述输出内容与所述参考敏感词库匹配,则判定所述目标代码符合所述预设条件。
根据本公开的一个方面,提供一种代码测试装置,包括:静态信息获取模块,用于获取目标代码的抽象语法树,并从所述抽象语法树得到至少一个静态信息;代码分析模块,用于通过所述至少一个静态信息对所述目标代码进行分析,得到每个静态信息对应的分析结果;测试控制模块,用于将每个所述分析结果与每个静态信息关联的参考信息进行比较,以判断所述目标代码是否符合预设条件。
根据本公开的一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一项所述的代码测试方法。
根据本公开的一个方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的代码测试方法。
本公开一种代码测试方法及装置,一方面,通过目标代码的抽象语法树的至少一个静态信息对目标代码进行分析,并根据每个静态信息关联的参考信息判断所述目标代码是否符合预设条件,由于能够通过静态信息对目标代码进行自动化测试,提高了代码检测效率;由于能够根据至少一个静态信息进行多种测试,因此能够实现多维度测试,从多个维度对目标代码进行测试,能够提高对代码检测的准确率。另一方面,通过至少一个静态信息避免了相关技术中静态代码的局限性,因此避免了代码质量不可控的问题,能够通过代码检测提高代码质量。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示意性示出一种代码测试方法的流程图。
图2示意性示出准备阶段的流程图。
图3示意性示出根据静态信息得到分析结果流程图。
图4示意性示出一种判断是否使用禁用库的流程图。
图5示意性示出一种判断是否使用未公开接口的流程图。
图6示意性示出一种判断是否输出敏感词的流程图。
图7示意性示出一种代码测试装置的框图。
图8示意性示出一种用于实现上述代码测试方法的电子设备。
图9示意性示出一种用于实现上述代码测试方法的计算机可读存储介质。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
本示例实施方式中首先提供了一种代码测试方法,可以用于对任何第三方开发的代码进行测试或者审查。接下来,结合图1对本示例性实施例中的代码测试方法进行详细说明。
在步骤S110中,获取目标代码的抽象语法树,并从所述抽象语法树得到至少一个静态信息。
本示例性实施例中,目标代码指的是当前被审查代码或者是被测试代码,可以为由第三方开发人员基于python的SDK(Software Development Kit,软件开发工具包)所开发的软件代码。该目标代码可以为游戏应用中的代码,也可以为其他应用中的代码。抽象语法树(abstract syntax code,AST)是源代码的抽象语法结构的树状表示,树上的每个节点都表示源代码中的一种结构,抽象语法树并不会表示出真实语法出现的每一个细节,比如说,嵌套括号被隐含在树的结构中,并没有以节点的形式呈现。
获取所述目标代码的抽象语法树包括以下步骤:第一步,在安装软件开发工具包的虚拟环境下,对基于所述软件开发工具包开发的所述目标代码进行遍历,得到文件目录树;第二步,根据所述文件目录树,得到所述目标代码的所述抽象语法树。其中,软件开发工具包指的是python SDK,虚拟环境指的是python虚拟环境,该虚拟环境是新创建的虚拟环境,保证后续步骤中安装SDK库时,减少或者是避免与某些已安装的python库冲突,从而影响准确率。文件目录树指的是结构为树形的文件目录,此处可通过os.walk生成器对第三方生成的目标代码进行遍历得到。根据目标代码对应的文件目录树可以得到目标代码的抽象语法树。
此处的至少一个静态信息包括但不限于每个抽象语法树中的模块信息module、类别信息class、函数信息function、赋值信息assign。其中,模块信息用于代表python代码的抽象语法树中所记录的该目标代码中所使用的python底层库或者导入模块,以及相关的附属信息;类别信息用于表示该目标代码中所定义的类,以及相关的附属信息;赋值信息里面包含了该目标代码中所有赋值变量的信息。
图2示意性示出了获取至少一个静态信息的流程图,具体包括以下步骤:
在步骤S201中,准备python虚拟环境,该虚拟环境是一个纯净的检测环境,为了保证后续步骤中安装SDK库时,不会出现与某些已安装的python库冲突,保证系统的稳定性。
在步骤S202中,在虚拟环境下安装SDK,例如可将SDK库中的代码拷贝到python虚拟环境的Lib\site-packages文件夹中。
在步骤S203中,激活该虚拟环境,此后基于python语言的操作都会在这个环境下进行。
在步骤S204中,对第三方开发者基于该SDK开发的所有代码文件进行文件遍历,获取文件目录树。
在步骤S205中,根据文件目录树,依次对每个代码文件获取抽象语法树。
在步骤S206中,对每个抽象语法树,抽取其中的静态信息,静态信息可以包括module、class、function、assign等信息,并将这些信息缓存在临时文件中,临时文件的名称与这个抽象语法树对应的代码文件名称保持一致。
通过图2中的步骤,可获得基于虚拟环境中安装的SDK开发的代码文件的抽象语法树,由于虚拟环境是纯净的检测环境,能够在一定程度上避免其他库的影响,提高测试准确率。获得的静态信息包括多种信息,从而可以对目标代码进行多种类型测试,从多个方面分析目标代码的质量。
在步骤S120中,通过所述至少一个静态信息对所述目标代码进行分析,得到每个静态信息对应的分析结果。
本示例性实施例中,至少一个静态信息可包括但不限于抽象语法树中的模块信息、类别信息、函数信息以及赋值信息。由于静态信息为多个且每个静态信息表示的具体含义均不同,因此针对每个静态信息需要用不同的方法对目标代码进行分析,以得到每个静态信息对应的分析结果。在此基础上,参考图3中所示的步骤S301-步骤S303,对通过所述至少一个静态信息对所述目标代码进行分析,得到每个静态信息对应的分析结果的具体步骤进行说明。
在步骤S301中,对所述模块信息进行遍历,直到获取到所述目标代码中所使用的库。该步骤是针对模块信息的处理过程,可采用模块信息中等的路径变量进行判断,直至基于路径变量判断出目标代码所使用的python库为止。
在步骤S302中,对所述函数信息以及类别信息进行分析,判断所述目标代码使用的接口。本步骤中将函数信息与类别信息结合进行分析,以通过函数信息中的类别信息和路径信息判断函数是第三方自定义函数还是第三方调用的函数,从而确定函数信息使用的接口。
在步骤S303中,将所述赋值信息转化成动态代码,并通过所述动态代码获得所述目标代码的输出内容。该步骤主要通过判断每个赋值信息是否为字符串类型,获取目标代码在执行过程中输出的字符串。
需要说明的是,步骤S301-步骤S303分别针对不同的静态变量而言,因此可根据实际测试需求执行其中的一个步骤或者是全部步骤。在执行多个步骤时,步骤S301-步骤S303的执行顺序可以互换,并不存在先后关系。
接下来,对步骤S301-步骤S303中的每个步骤进行详细说明。步骤S301中对所述模块信息进行遍历,直到获取到所述目标代码中所使用的库的具体过程可以包括:第一步,若判断所述模块信息中的路径变量为空,则确定所述模块信息使用的库为标准库;第二步,若所述路径变量不为空且所述路径变量在软件开发工具包的安装路径下,则确定所述模块信息使用的库为软件开发工具包库;第三步,若所述路径变量不在软件开发工具包的安装路径下且所述路径变量不在目标代码的路径下,则确定所述模块信息使用的库为第三方库;第四步,若所述路径变量在所述目标代码的路径下,则重新获取所述路径变量对应的代码文件中的抽象语法树,并对重新获取的所述抽象语法树中的模块信息中的路径变量进行判断,直至获取到所述目标代码中所述模块信息使用的库为止。
参考图4所示,第一步的具体过程包括步骤S401-步骤S403,其中:
在步骤S401中,读取临时文件中缓存的模块信息module,并对模块信息中的路径变量path进行判断。
在步骤S402中,判断路径变量path是否为空。如果路径变量为空,则执行步骤S403;如果路径变量不为空,则执行步骤S404。
在步骤S403中,确定模块信息使用的库为python标准库。
第二步的具体步骤包括步骤S404以及步骤S405,其中:
在步骤S404中,如果路径变量不为空,则判断路径变量path是否在SDK的安装路径下;若是,则执行步骤S405;若不是,则执行步骤S406。
在步骤S405中,若路径变量path在SDK的安装路径下,则表明所述模块信息使用的库为软件开发工具包中的库。
第三步的具体步骤包括步骤S406以及步骤S407,其中:
在步骤S406中,判断所述路径变量是否在目标代码的路径下;若不是,则执行步骤S407;若是,则执行步骤S408。
在步骤S407中,若所述路径变量不在目标代码的路径下,则确定所述模块信息使用的库为第三方python库。
第四步的具体步骤包括步骤S408以及步骤S410,其中:
在步骤S408中,重新获取所述路径变量path对应的代码文件中的抽象语法树,并对重新获取的所述抽象语法树中的模块信息中的路径变量进行判断。此处的抽象语法树指的是针对路径变量的代码文件重新获取的,判断的是重新获取的抽象语法树中的另一路径变量,例如,初始的路径变量为path1,此处判断的路径变量为path2。
在步骤S409中,判断path2是否满足以下三个条件中的任意一个:一、若判断path2为空,则确定模块信息使用的库为python标准库。二、若判断path2在SDK路径下,表明所述模块信息使用的库为软件开发工具包中的库。三、path2不在目标代码的路径下,则确定所述模块信息使用的库为第三方python库。如果上述3个条件都不满足,则读取该path2变量所对应的那个代码文件的抽象语法树,继续按照S408进行深度遍历。
在步骤S410中,根据步骤S408和步骤S409,最终获取到目标代码文件所使用的python库。
步骤S302中根据对所述函数信息以及类别信息进行分析,判断所述函数信息使用的接口具体可以包括以下步骤:第一步,判断所述函数信息中的路径变量是否在软件开发工具包的安装路径下。第二步,若所述路径变量不在软件开发工具包的安装路径下,则确定所述函数信息为第三方函数。第三步,若所述路径变量在软件开发工具包的安装路径下,则确定所述函数信息使用的接口。
参考图5所示,步骤S302的执行过程可通过以下步骤实现,具体包括:
在步骤S501中,读取临时文件中的缓存信息,提取function信息,里面包含了该代码文件中所有调用函数的相关信息,对每一个调用函数按照下述流程进行检查。
第一步的具体步骤包括步骤S502至步骤S503,其中:
在步骤S502中,判断每个function信息中的class信息是否为空。若是,则执行步骤S503;若否,则执行步骤S505。
在步骤S503中,如果function中的class信息为空,则表明该函数不从属于任何类,进一步判断function信息中的path变量是否在SDK路径下。若是,则执行步骤S506;若否,则执行步骤S504。
第二步的具体步骤包括步骤S504,其中:
在步骤S504中,如果该function信息中的path变量不在SDK路径下,则表明该函数是第三方开发者自定义实现的函数,判断通过。
第三步的具体步骤包括步骤S505至步骤S507,其中:
在步骤S505中,如果function信息中的class信息不为空,则表明该函数从属于某一个类,进而在抽象语法树中查找这个class信息,获取class的path变量并判断function信息中的path变量是否在SDK路径下。若是,则执行步骤S506;若否,则执行步骤S507。
在步骤S506中,若判断function信息中的path变量在SDK路径下,则确定第三方开发者在调用SDK中的接口API,从而可以确定函数信息使用的接口。进而可根据既定的SDK公开接口列表,对函数信息使用的接口即目标代码使用的接口进行判断。
在步骤S507中,如果class的path变量不在SDK路径下,表明这个class为第三方开发者自定义的类,从而function也为自定义的函数,判断通过。
对于图5中而言,不论class信息是否为空,只要function信息中的path变量和class信息中的path变量未处于SDK路径下,则可认为function信息为第三方开发者自定义的函数。如果function信息中的path变量和class信息中的path变量处于SDK路径下,则可认为第三方开发者调用SDK中的接口API,此时需要确定调用的API。
步骤S303中将所述赋值信息转化成动态代码,并通过所述动态代码获得所述目标代码的输出内容的具体步骤包括:第一步,判断所述赋值信息中的变量是否为预设类型。第二步,若所述赋值信息中的变量为预设类型,则获取变量名和输入参数,所述预设类型包括表示通过运算符号或通过函数对字符串进行操作的类型。预设类型包括BinOp或Call类型,其中,如果通过运算符号对字符串操作,则为BinOp类型的assign信息;如果通过调用函数方法对字符串操作,则为Call类型的assign信息。第三步,根据所述变量名获取用于表示字符串常量操作的功能函数,并根据功能函数得到字符串,并将所述字符串作为所述目标代码的输出内容。
参考图6中所示,步骤S303的执行过程可通过以下步骤实现,具体包括以下步骤:
在步骤S601中,读取临时文件中的缓存信息,提取assign信息,里面包含了该代码文件中所有被赋值变量的相关信息,对每一个被赋值变量按照下述流程进行检查。
第一步的具体过程包括步骤S602,其中:
在步骤S602中,判断每个assign信息是否为字符串类型的常量。若是,则执行步骤S607;若否,则执行步骤S603。
第二步的具体过程包括步骤S603至步骤S605,其中:
在步骤S603中,判断每个assign信息中的变量是否为BinOp或Call类型。python代码中,绝大部分的字符串操作信息或者字符串格式化方法,都被记录在抽象语法树中类型为BinOp或Call的assign信息中。若是,则执行步骤S605;若否,则执行步骤S604。
在步骤S604中,若S603步骤中判断结果为否,说明该条assign信息不涉及字符串相关的操作,直接结束处理流程。
在步骤S605中,在类型为BinOp和Call的Assign信息中,获取function变量名和输入参数。function变量名表示字符串的操作方法,输入参数表示这个操作方法中需要操作的输入对象。例如,A=”aaa”+”bbb”,该字符串拼接的操作在抽象语法树中,被表示为BinOp类型的assign信息,其中function变量名为“+”,输入参数为“aaa”、“bbb”两个字符串。再例如,“listStr=[‘python’,‘tab’,‘com’],website=‘’.join(listStr)”中,这个字符串的操作是将listStr这个列表中的三个字符串变量拼接成website一个字符串,在抽象语法树中被表示为Call类型的assign信息,其中function变量名为“join”,输入参数为listStr这个包含了三个字符串的列表。
第三步具体包括步骤S606,在步骤S606中,根据function变量名,确定需要动态执行的函数方法,函数的输入变量即为args参数,最终得到代码在动态执行过程中输出的字符串。具体地,将所有可能出现的字符串操作方法都提前封装成不同的功能函数,根据S605步骤中分析所得的function变量名去选择对应的功能函数,功能函数的输入变量即为assign信息中的输入参数,根据功能函数即可得到字符串。其中,如果输入参数中存在变量(比如B=A+“bbb”,这里A就是操作中的一个变量),可以在当前代码文件的assign信息中的字符串常量信息中遍历获取到。
接下来,在步骤S130中,将每个所述分析结果与每个静态信息关联的参考信息进行比较,以判断所述目标代码是否符合预设条件。
本示例性实施例中,每一个静态信息对应的分析结果均有一个参考信息对应,以根据参考信息准确进行比较,从而通过自动进行对比,能够快速确定目标代码是否符合预设条件。其中,所述预设条件包括目标代码中使用未公开接口、所述目标代码包括禁用库或所述目标代码的输出为敏感词。
具体而言,对于图3中步骤S301中的模块信息而言,步骤S130的具体为:将所述目标代码中所述模块信息使用的库与参考禁用库进行对比;若所述模块信息使用的库与所述参考禁用库匹配,则判定所述目标代码符合所述预设条件。参考禁用库指的是事先设置的禁用python库列表,禁用python库列表可以包括多个库,具体可包括每个库的ID以及每个库的名称等等。结合图4中所示,在步骤S411中,可将通过步骤S403、步骤S405、步骤S407或者是步骤S410中任意一个步骤得到的目标代码所使用的python库与禁用python库列表进行对比,从而得到步骤S412中的检查结果。如果目标代码所使用的python库属于禁用python库列表中的任意一个,则可以认为目标代码使用禁用库,符合预设条件。例如,目标代码所使用的python库的ID为1,禁用python库列表中包括ID为1、ID为2以及ID为5的python库,因此可认为目标代码符合预设条件。
对于图3中步骤S302中的类别信息和函数信息而言,步骤S130的具体为:将所述函数信息使用的接口与参考接口进行对比;若所述函数信息使用的接口与所述参考接口不匹配,则判定所述目标代码符合所述预设条件。参考接口指的是SDK公开的接口,第三方开发者在调用函数只可以采用这些参考接口,具体可通过每个接口的IP、接口位置、接口名称等等。结合图5中所示,在步骤S506中,可将调用目标代码所使用的接口与SDK公开列表进行对比,从而得到步骤S508中的测试结果。如果目标代码所使用的接口不属于SDK公开列表中的任意一个,则可以认为目标代码使用未公开接口,符合预设条件。例如,调用目标代码所使用的接口为接口8,SDK公开列表中包括接口2、接口3以及接口5,由于目标代码所使用的接口与SDK公开列表中的接口不同,因此认为目标代码符合预设条件。
对于步骤S303中描述的赋值信息而言,步骤S130具体为:将每个所述分析结果与每个静态信息关联的参考信息进行比较,以判断所述目标代码是否符合预设条件包括:将所述输出内容与参考敏感词库进行对比;若所述输出内容与参考敏感词库匹配,则判定所述目标代码符合所述预设条件。参考敏感词库为用于存储多个敏感词的数据库,敏感词例如可以包括病毒、缺陷、不符合规定的符号等等,且敏感词可以用字符串的形式或者是其他形式进行表示。结合图6中所示,在步骤S607中,可步骤S602或步骤S606得到的字符串与参考敏感词库进行对比,从而得到步骤S608中的测试结果。如果目标代码在动态执行过程,通过步骤S602或步骤S606得到的字符串中包括参考敏感词库的任意字符串,则可以认为目标代码的输出结果包括敏感词,符合预设条件。
本示例性实施例中,通过目标代码的抽象语法树的至少一个静态信息,即模块信息、类别信息、函数信息以及赋值信息对目标代码进行分析,并根据每个静态信息关联的参考信息判断所述目标代码是否符合预设条件,由于能够通过静态信息对目标代码进行自动化测试,相对于人工检测而言,提高了代码检测效率。由于能够根据至少一个静态信息进行多种测试,因此能够实现多维度测试,从多个维度对目标代码进行测试,能够提高对代码检测的准确率。通过静态信息中的赋值信息对代码进行动态测试,避免了只进行静态测试的局限性,因此避免了代码质量不可控的问题,能够通过代码检测提高代码质量。
本公开还提供了一种代码测试装置。参考图7所示,该代码测试装置700可以包括:
静态信息获取模块701,用于获取目标代码的抽象语法树,并从所述抽象语法树得到至少一个静态信息;
代码分析模块702,用于通过所述至少一个静态信息对所述目标代码进行分析,得到每个静态信息对应的分析结果;
测试控制模块703,用于将每个所述分析结果与每个静态信息关联的参考信息进行比较,以判断所述目标代码是否符合预设条件。
上述代码测试装置中各模块的具体细节已经在对应的代码测试方法中进行了详细的描述,因此此处不再赘述。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
下面参照图8来描述根据本发明的这种实施方式的电子设备800。图8显示的电子设备800仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图8所示,电子设备800以通用计算设备的形式表现。电子设备800的组件可以包括但不限于:上述至少一个处理单元810、上述至少一个存储单元820、连接不同系统组件(包括存储单元820和处理单元810)的总线830。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元810执行,使得所述处理单元810执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元810可以执行如图1中所示的步骤。
存储单元820可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)8201和/或高速缓存存储单元8202,还可以进一步包括只读存储单元(ROM)8203。
存储单元820还可以包括具有一组(至少一个)程序模块8205的程序/实用工具8204,这样的程序模块8205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线830可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备800也可以与一个或多个外部设备1000(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备800交互的设备通信,和/或与使得该电子设备800能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口850进行。并且,电子设备800还可以通过网络适配器860与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器860通过总线830与电子设备800的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备800使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
参考图9所示,描述了根据本发明的实施方式的用于实现上述方法的程序产品900,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其他实施例。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
Claims (13)
1.一种代码测试方法,其特征在于,包括:
获取目标代码的抽象语法树,并从所述抽象语法树得到至少一个静态信息;
通过所述至少一个静态信息对所述目标代码进行分析,得到每个静态信息对应的分析结果;
将每个所述分析结果与每个静态信息关联的参考信息进行比较,以判断所述目标代码是否符合预设条件。
2.根据权利要求1所述的代码测试方法,其特征在于,所述预设条件包括目标代码中使用未公开接口、所述目标代码包括禁用库或所述目标代码的输出为敏感词。
3.根据权利要求1所述的代码测试方法,其特征在于,获取所述目标代码的抽象语法树包括:
在安装软件开发工具包的虚拟环境下,对基于所述软件开发工具包开发的所有代码进行遍历,得到文件目录树;
根据所述文件目录树,得到所述目标代码的所述抽象语法树。
4.根据权利要求2所述的代码测试方法,其特征在于,所述至少一个静态信息包括模块信息、类别信息、函数信息以及赋值信息,通过所述至少一个静态信息对所述目标代码进行分析,得到每个静态信息对应的分析结果包括:
对所述模块信息进行遍历,直到获取到所述目标代码所使用的库;和/或
对所述函数信息以及类别信息进行分析,判断所述目标代码使用的接口;和/或
将所述赋值信息转化成动态代码,并通过所述动态代码获得所述目标代码的输出内容。
5.根据权利要求4所述的代码测试方法,其特征在于,对所述模块信息进行遍历,直到获取到所述目标代码所使用的库包括:
若判断所述模块信息中的路径变量为空,则确定所述模块信息使用的库为标准库;
若所述路径变量不为空且所述路径变量在软件开发工具包的安装路径下,则确定所述模块信息使用的库为软件开发工具包中的库;
若所述路径变量不在软件开发工具包的安装路径下且所述路径变量不在目标代码的路径下,则确定所述模块信息使用的库为第三方库;
若所述路径变量在所述目标代码的路径下,则重新获取所述路径变量对应的代码文件中的抽象语法树,并对重新获取的所述抽象语法树中的模块信息中的路径变量进行判断,直至获取到所述目标代码中所述模块信息使用的库为止。
6.根据权利要求5所述的代码测试方法,其特征在于,将每个所述分析结果与每个静态信息关联的参考信息进行比较,以判断所述目标代码是否符合预设条件包括:
将所述目标代码中所述模块信息使用的库与参考禁用库进行对比;
若所述模块信息使用的库与所述参考禁用库匹配,则判定所述目标代码符合所述预设条件。
7.根据权利要求4所述的代码测试方法,其特征在于,对所述函数信息以及类别信息进行分析,判断所述目标代码使用的接口包括:
判断所述函数信息中的路径变量是否在软件开发工具包的安装路径下;
若所述路径变量不在软件开发工具包的安装路径下,则确定所述函数信息为第三方函数;
若所述路径变量在软件开发工具包的安装路径下,则确定所述目标代码的函数信息使用的接口。
8.根据权利要求7所述的代码测试方法,其特征在于,将每个所述分析结果与每个静态信息参考信息进行比较,以判断所述目标代码是否符合预设条件包括:
将所述函数信息使用的接口与参考接口进行对比;
若所述函数信息使用的接口与所述参考接口不匹配,则判定所述目标代码符合所述预设条件。
9.根据权利要求4所述的代码测试方法,其特征在于,将所述赋值信息转化成动态代码,并通过所述动态代码获得所述目标代码的输出内容包括:
判断所述赋值信息中的变量是否为预设类型;
若所述赋值信息中的变量为所述预设类型,则获取变量名和输入参数,所述预设类型包括表示通过运算符号或通过函数对字符串进行操作的类型;
根据所述变量名获取用于表示字符串常量操作的功能函数,并根据所述功能函数得到字符串,以将所述字符串作为所述目标代码的输出内容。
10.根据权利要求9所述的代码测试方法,其特征在于,将每个所述分析结果与每个静态信息关联的参考信息进行比较,以判断所述目标代码是否符合预设条件包括:
将所述输出内容与参考敏感词库进行对比;
若所述输出内容与所述参考敏感词库匹配,则判定所述目标代码符合所述预设条件。
11.一种代码测试装置,其特征在于,包括:
静态信息获取模块,用于获取目标代码的抽象语法树,并从所述抽象语法树得到至少一个静态信息;
代码分析模块,用于通过所述至少一个静态信息对所述目标代码进行分析,得到每个静态信息对应的分析结果;
测试控制模块,用于将每个所述分析结果与每个静态信息关联的参考信息进行比较,以判断所述目标代码是否符合预设条件。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-10任一项所述的代码测试方法。
13.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1-10任一项所述的代码测试方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811217802.2A CN109446078B (zh) | 2018-10-18 | 2018-10-18 | 代码测试方法及装置、存储介质、电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811217802.2A CN109446078B (zh) | 2018-10-18 | 2018-10-18 | 代码测试方法及装置、存储介质、电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109446078A true CN109446078A (zh) | 2019-03-08 |
| CN109446078B CN109446078B (zh) | 2022-02-18 |
Family
ID=65546827
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811217802.2A Active CN109446078B (zh) | 2018-10-18 | 2018-10-18 | 代码测试方法及装置、存储介质、电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109446078B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070083933A1 (en) * | 2005-10-07 | 2007-04-12 | Microsoft Corporation | Detection of security vulnerabilities in computer programs |
| CN101661543A (zh) * | 2008-08-28 | 2010-03-03 | 西门子(中国)有限公司 | 软件源代码安全漏洞的检测方法及检测装置 |
| CN101847122A (zh) * | 2010-06-01 | 2010-09-29 | 北京邮电大学 | 应用异常控制流集的软件测试方法及系统 |
| CN103793650A (zh) * | 2013-12-02 | 2014-05-14 | 北京邮电大学 | Android应用程序的静态分析方法及装置 |
| CN103793652A (zh) * | 2012-10-29 | 2014-05-14 | 广东电网公司信息中心 | 一种基于静态分析的应用系统代码安全扫描装置 |
| WO2016004073A1 (en) * | 2014-06-30 | 2016-01-07 | Amazon Technologies, Inc. | Machine learning service |
| US20160314301A1 (en) * | 2015-04-21 | 2016-10-27 | Martin Johns | Cooperative Static and Dynamic Analysis of Web Application Code for Finding Security Vulnerabilities |
| CN107506304A (zh) * | 2017-08-24 | 2017-12-22 | 方智林 | 代码检测方法、装置、电子设备及存储介质 |
| CN107967208A (zh) * | 2016-10-20 | 2018-04-27 | 南京大学 | 一种基于深度神经网络的Python资源敏感缺陷代码检测方法 |
| CN108614707A (zh) * | 2018-04-27 | 2018-10-02 | 深圳市腾讯网络信息技术有限公司 | 静态代码检查方法、装置、存储介质和计算机设备 |
-
2018
- 2018-10-18 CN CN201811217802.2A patent/CN109446078B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070083933A1 (en) * | 2005-10-07 | 2007-04-12 | Microsoft Corporation | Detection of security vulnerabilities in computer programs |
| CN101661543A (zh) * | 2008-08-28 | 2010-03-03 | 西门子(中国)有限公司 | 软件源代码安全漏洞的检测方法及检测装置 |
| CN101847122A (zh) * | 2010-06-01 | 2010-09-29 | 北京邮电大学 | 应用异常控制流集的软件测试方法及系统 |
| CN103793652A (zh) * | 2012-10-29 | 2014-05-14 | 广东电网公司信息中心 | 一种基于静态分析的应用系统代码安全扫描装置 |
| CN103793650A (zh) * | 2013-12-02 | 2014-05-14 | 北京邮电大学 | Android应用程序的静态分析方法及装置 |
| WO2016004073A1 (en) * | 2014-06-30 | 2016-01-07 | Amazon Technologies, Inc. | Machine learning service |
| US20160314301A1 (en) * | 2015-04-21 | 2016-10-27 | Martin Johns | Cooperative Static and Dynamic Analysis of Web Application Code for Finding Security Vulnerabilities |
| CN107967208A (zh) * | 2016-10-20 | 2018-04-27 | 南京大学 | 一种基于深度神经网络的Python资源敏感缺陷代码检测方法 |
| CN107506304A (zh) * | 2017-08-24 | 2017-12-22 | 方智林 | 代码检测方法、装置、电子设备及存储介质 |
| CN108614707A (zh) * | 2018-04-27 | 2018-10-02 | 深圳市腾讯网络信息技术有限公司 | 静态代码检查方法、装置、存储介质和计算机设备 |
Non-Patent Citations (4)
| Title |
|---|
| DAVID INSA等: ""Automatic assessment of Java code"", 《COMPUTER LANGUAGES, SYSTEMS & STRUCTURES》 * |
| 孟照国: ""一种基于流分析的源码检测工具"", 《中国优秀博硕士学位论文全文数据库(硕士) 信息科技辑》 * |
| 李永伟 等: "基于反编译的循环脆弱点检测", 《计算机应用研究》 * |
| 马洪亮 等: "混淆恶意JavaScript代码的检测与反混淆方法研究", 《计算机学报》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109446078B (zh) | 2022-02-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10666583B2 (en) | System and method for visually understanding and programming conversational agents of electronic devices | |
| CN106547678B (zh) | 用于白盒测试的方法和装置 | |
| US10754885B2 (en) | System and method for visually searching and debugging conversational agents of electronic devices | |
| US11694090B2 (en) | Debugging deep neural networks | |
| CN109726136A (zh) | 数据库的测试方法、装置、设备和存储介质 | |
| US11144437B2 (en) | Pre-populating continuous delivery test cases | |
| CN108549538A (zh) | 一种代码检测方法、装置、存储介质及测试终端 | |
| US10372824B2 (en) | Disambiguating concepts in natural language | |
| CN107015841B (zh) | 一种程序编译的预处理方法及程序编译设备 | |
| CN110515647A (zh) | 一种静态资源管理方法、装置、设备和存储介质 | |
| CN108920370A (zh) | 兼容性问题检测方法、装置及设备 | |
| US10558710B2 (en) | Sharing server conversational context between multiple cognitive engines | |
| CN109871317A (zh) | 代码质量分析方法及装置、存储介质及电子设备 | |
| CN109656815A (zh) | 有配置文件的测试语句编写方法、装置、介质及电子设备 | |
| CN114035805A (zh) | 用于预编译器的代码转换方法、装置、介质及设备 | |
| CN111612482A (zh) | 对话管理方法、装置和设备 | |
| CN107506304A (zh) | 代码检测方法、装置、电子设备及存储介质 | |
| US9575750B2 (en) | Generic annotation seeker | |
| US9064042B2 (en) | Instrumenting computer program code by merging template and target code methods | |
| CN111124541B (zh) | 一种配置文件的生成方法、装置、设备及介质 | |
| US20230362107A1 (en) | Multi-agent chatbot with multi-intent recognition | |
| WO2023151397A1 (zh) | 应用程序部署方法、装置、设备及介质 | |
| CN110716859A (zh) | 自动为修改的代码推送测试用例的方法及相关装置 | |
| CN109446078A (zh) | 代码测试方法及装置、存储介质、电子设备 | |
| CN115292178A (zh) | 测试数据搜索方法、装置、存储介质以及终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |