CN111309601A - 用于生成源代码缺陷漏洞id的方法、设备和计算机可读存储介质 - Google Patents

Abstract

本发明涉及一种用于生成源代码缺陷漏洞ID的方法、设备和计算机可读存储介质。该方法包括：步骤1：连接多个指标来确定初始字符串；步骤2：根据所确定的初始字符串，获得二进制的数组；步骤3：通过所述数组生成16位的MD5码；步骤4：通过运算生成最终的32位的实例ID。本发明解决了审计人员对已经审计过的误报的漏洞和不需要修改的代码质量、代码样式方面的漏洞进行重新审计的问题，使得满足了生成源代码缺陷漏洞ID时的一次唯一性和多次不变性的要求，节省了审计人员的时间和精力。

Description

用于生成源代码缺陷漏洞ID的方法、设备和计算机可读存储 介质

技术领域

本发明涉及源代码安全扫描的技术领域，具体地涉及一种用于生成源代码缺陷漏洞ID的方法、设备和计算机可读存储介质。

背景技术

目前，随着信息技术的飞速发展，网络在国民生活中的应用越来越普遍。现代人们的生活几乎离不开网络，然而最近几年的网络安全事件层出不穷，这些安全事件中应用层产生的安全漏洞占据非常大的比重。因此应用程序的源代码安全缺陷扫描成为防范网络攻击的重要措施。

根据软件工程理论已知对源代码安全缺陷的发现和修复越早成本越小，所以在软件开发的整个过程中不断地进行代码安全缺陷扫描，以期最早地发现代码中隐藏的安全漏洞。另一方面，根据源代码缺陷理论，已知根据规则库匹配和查找出来的缺陷只是一种可能性，不一定被利用，这种匹配和查找方式还存在一定的误报率，所以通过代码检测工具检测出来的缺陷都要经过人工审计，由经验丰富的测试人员或安全人员根据项目的实际情况来确定一个缺陷是否为真正的漏洞，是否需要修复。有的问题是误报，这部分完全不需要修复，另外一部分问题可能是代码质量方面，在要求宽松的情况下，这部分问题也不需要修复。审计完成之后需要修复的可能只是一小部分。

完成第一轮次的检测和修复之后，需要进行回测，即确认开发人员是否已经修复相关漏洞。在项目进行到下一个开发版本时，需要进行第二次的测试。无论是回测还是第二阶段的测试，都希望对已经审计过的误报的漏洞和不需要修改的代码质量，代码样式方面的漏洞不要在重新审计，这样会大大浪费审计人员的时间，这样的测试越多，浪费的时间就越多。审计人员的时间和精力应该集中在新出现的漏洞上面。这就要求检测工具生成的漏洞具有这样一个标识，在一次测试中每个标识都是唯一的，但是在多轮次的检测中相同的漏洞具有一样的标识，这样就可以很方便地进行排除。新标识的是新的缺陷，以前有的就是老的缺陷。对于误报的和不需要修复的漏洞可以按照之前审计的结果直接处理，不需要审计人员再花费时间重新审计。

发明内容

本发明所要解决的技术问题是提供一种用于生成源代码缺陷漏洞ID的方法、设备和计算机可读存储介质，使得产生的漏洞ID的方式满足一次唯一性和多次不变性的要求。

具体地，在源代码安全扫描软件生成缺陷漏洞时，会给每一个漏洞生成一个漏洞ID，该ID在一次扫描时是唯一的，不能重复于该次扫描的其它的漏洞。源代码安全扫描需要多轮次的测试，即对同一个项目的多个版本进行测试，该版本是根据时间和项目进度来确定的。在进行下一轮次的测试时技术人员需要知道这次测试增加了哪些新的漏洞，修复了哪些漏洞。特别是对一些误报的或不需要修复的漏洞会要求直接过滤掉，这样大大缩短了漏洞审计人员的时间。对多轮次的漏洞情况进行比较是源代码安全扫描软件需要具备的功能之一。这就对生成漏洞的ID要求了以下多个条件。首先该ID在一次扫描时是唯一的，其次该ID在多轮次的扫描时是相同的。传统的利用文件名字和代码行数来定位漏洞的方式很容易让漏洞ID发生变化或者与不同的漏洞产生混淆。这时候就需要一种新的漏洞ID的产生方式，满足一次唯一性和多次不变性的要求。

通过本发明可以实现的技术目的不限于上文已经特别描述的内容，并且本领域技术人员将从下面的详细描述中更加清楚地理解本文中未描述的其他技术目的。

本发明解决上述技术问题的技术方案如下：

根据本公开的一方面，本发明提供一种用于生成源代码缺陷漏洞ID的方法，其特征在于，所述方法包括：

步骤1：连接多个指标来确定初始字符串；

步骤2：根据所确定的初始字符串，获得二进制的数组；

步骤3：通过所述数组生成16位的MD5码；

步骤4：通过运算生成最终的32位的实例ID。

可选地，在如上所述的方法中，所述多个指标包括由数字和字母组成的语言规则ID、当前类的类名称、当前缺陷所在的函数的名称、发生缺陷的函数点、发生缺陷所在位置函数的输入点和发生缺陷所在位置函数的输出点，其中所述语言规则ID是唯一的，所述当前类的类名称不随着版本升级而改变。

可选地，在如上所述的方法中，在步骤4中，对所述MD5码进行HEX计算，以将所述MD码转换成第一字符串和第二字符串，然后连接所述第一字符串和第二字符串。

可选地，在如上所述的方法中，所述第一字符串和第二字符串由以下字符组中的字符组成：{'0','1','2','3','4','5','6','7','8','9','A','B','C','D','E','F'}。

可选地，在如上所述的方法中，对所述MD5码进行HEX计算，所计算的结果作为所述第一字符串，然后对所述第一字符串进行移位和与运算，所计算的结果作为所述第二字符串。

根据本公开的一方面，本发明提供一种用于生成源代码缺陷漏洞ID的设备，其特征在于，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如上任一项所述的用于生成源代码缺陷漏洞ID的方法的步骤。

根据本公开的一方面，本发明提供一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有信息传递的实现程序，所述程序被处理器执行时实现如上任一项所述的用于生成源代码缺陷漏洞ID的方法的步骤。

上述技术方案仅为本发明实施例的一些部分，本领域技术人员从以下本发明的详细描述中可以导出和理解包含了本发明的技术特征的各种实施例。

本发明的技术方案选择的6大指标能满足全局唯一性的特点，选择的6大指标能满足多次相同性的特点，生成的目标字符串来源于指定的字符集合，并且HEX算法保证了目标字符串的不可预测，HEX算法还保证了目标字符串的最终长度是固定的。因此本发明的新的漏洞ID的产生方式满足了漏洞ID的一次唯一性和多次不变性的要求，节省了审计人员的时间和精力。

本领域技术人员将会理解，通过本发明可以实现的效果不限于上文已经具体描述的内容，并且从以下详细说明中将更清楚地理解本发明的其他优点。

附图说明

被包括以提供对本发明的进一步理解的附图示出本发明的实施例，并且与说明书一起用于解释本发明的原理。

图1为本发明实施例提供的一种用于生成源代码缺陷漏洞ID的方法的流程图。

图2为本发明实施例提供的一种用于生成源代码缺陷漏洞ID的方法的示意图。

图3为本发明实施例提供的一种用于生成源代码缺陷漏洞ID的设备的示意图。

具体实施方式

现在将详细参考本发明的示例性实施例，其示例在附图中示出。下面将参考附图给出的详细描述旨在解释本发明的示例性实施例，而不是示出可以根据本发明实现的唯一实施例。以下详细描述包括具体细节以便提供对本发明的透彻理解。然而，对于本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下实践本发明。

在一些情况下，已知的结构和设备被省略或以框图形式示出，集中于结构和设备的重要特征，以免模糊本发明的概念。在整个说明书中将使用相同的附图标记来表示相同或相似的部分。

以下结合附图对本发明的原理和特征进行描述，所举实例只用于解释本发明，并非用于限定本发明的范围。

在本发明的描述中，需要理解的是，术语“上”、“下”、“中心”、“内”、“外”、“顶”、“底”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。源代码是指计算机编程语言的源码。不同的源码由该语言的关键字和基本语法组成。缺陷是指源代码中出现的设计不合理，或使用不当等造成程序的缺陷。漏洞ID即一次代码扫描时生成一个缺陷唯一的标识，通常由数据和字母组合而成的多位字符串。多轮次是指源代码开发中的多个版本，通常以时间和进度递进。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

实施例1

图1示出本发明实施例提供的一种用于生成源代码缺陷漏洞ID的方法的流程图。本发明实施例提供一种用于生成源代码缺陷漏洞ID的方法，所述方法包括：步骤1：连接多个指标来确定初始字符串；步骤2：根据所确定的初始字符串，获得二进制的数组；步骤3：通过所述数组生成16位的MD5码；步骤4：通过运算生成最终的32位的实例ID。所述多个指标包括由数字和字母组成的语言规则ID、当前类的类名称、当前缺陷所在的函数的名称、发生缺陷的函数点、发生缺陷所在位置函数的输入点和发生缺陷所在位置函数的输出点，其中所述语言规则ID是唯一的，所述当前类的类名称不随着版本升级而改变。在步骤4中，对所述MD5码进行HEX计算，以将所述MD码转换成第一字符串和第二字符串，然后连接所述第一字符串和第二字符串。具体地，所述第一字符串和第二字符串由以下字符组中的字符组成：{'0','1','2','3','4','5','6','7','8','9','A','B','C','D','E','F'}。具体地，对所述MD5码进行HEX计算，所计算的结果作为所述第一字符串，然后对所述第一字符串进行移位和与运算，所计算的结果作为所述第二字符串。

根据本发明的具体实施方式，参考图2，首先本发明是通过6个指标来定位一个缺陷的实例ID。这6个指标必须满足全局唯一性及多次重复性的特点。一个缺陷的定位信息很多，经过多重筛选，选出这6个指标，这里对6个指标进行简单的说明。RuleID是规则ID，规则ID是定义一类缺陷的一种具体的实现方式，一类缺陷有多种实现方式，但一种具体的查找方式是最底层的实现方式，除了描述是怎么查找这种缺陷的，还对这种缺陷进行可能性，危害性多方面进行打分。ClassName即当前这个缺陷所在的类名称或文件名称。FunctionName即当前这个缺陷所在的函数名称。TaitFunctionName即当前这个缺陷tait点的名称，tait点是指这个缺陷的发生点，就是最终发生这个缺陷所在的点。InputPoint是指缺陷发生的输入点，即当这个缺陷由数据流传输引起的，受污染的数据所在参数的位置，如【0】、【1】表示第1个参数和第2个参数。这里由参数的类型、位置、是全局属性还是局部属性确定的。OutputPoint是指返回值参数，也是由参数的类型、位置、是全局属性还是局部属性来确定的。

当确定完这些数据后，把这些数据连接(append)一起，然后生成二进制数组。再把这些二进制数组进行MD5的运算，生成16位的加密数据。这个加密字符串杂乱含有多种字符，在进行XML结果保存和传输中容易和xml标签冲突，另一方面很容易看出是MD5生成的。然后再进行进一步处理，把这16位的加密数据进行hex计算，就是把它生成简单的数字和字母的前6个组成的数据，然后再进一步把这个数据加长，加到32位。最终这个32位的字符串就是本发明的缺陷ID。

更具体地，本发明的方法的实际操作可以参考图2。首先利用6项指标来确实一个实例ID。然后得到一个二进制的数组，通过这个数组生成16位的MD5码，然后再通过算法生成最终的32位的实例ID。具体实施步骤如下：RuleID是本发明生成的语言规则ID，由数字和字母组成，如E1EF3F03-9E53-2811-B494-82364E3293BD。每个RuleID都是独一无二的。ClassName是当前类的类名称，如：DataBaseUtil.java的类名称就是DataBaseUtil，如果是C语言，可以是文件名称，类名称随着版本升级一般是不会改变的。FunctionName是当前缺陷所在的函数名称，如executeSql(String name,Connection coo)的函数名就是executeSql。TaitFunName是当前缺陷的taint点，即发生缺陷的函数点，如发生缺陷的位置:int a＝con.execuateQuery(sql)；则taintFuncitonName为execuateQuery。InputPoint点是发生缺陷所在位置函数的输入点，如int a＝con.execuateQuery(sql)；的InPutPont为String-0，即sql的类型是String，位置是0，第一个输入参数。OutputPoint点是发生缺陷所在位置函数的输出点，如int a＝con.execuateQuery(sql)；的OutputPoint点是int，这里取返回参数的类型。

由前面6项连接成一个字符串，如DataBaseUtil-executeSql-execuateQuery-String-0-int，由此得到二进制的数组为byte[]bytes＝ss.getBytes(“UTF-8”)；值为：【68 97 116 97 66 97 115 101 85 116 105 108 45 101 120 101 99 117 116 101 83113 108 45 101 120 101 99 117 97 116 101 81 117 101 114 121 45 83 116 114 105110 103 45 48 45 105 110 116】。

对上面的二进制数组做一个MD5的计算，如MessageDigest.digest(bytes)；上面得到MD值为：【-81 -46 -52 25 -60 19 -42 100 42 -24 -37 14 57 -82 -9 -3】。

再对MD5的字符串进行HEX计算，目标是把上面的MD码转换成数字和前5个字母的组合。给出的字符选项为{'0','1','2','3','4','5','6','7','8','9','A','B','C','D','E','F'}。即实例ID由这里面的字母组成。MD码是16位的。可以对每一个目标MD码进行两次映射，如HEX[byteData>>4&15]，HEX[byteData&15]。经过移位和&运算后得到一个32位的字符串。

将上面运算两次得到的字符相连接，buf.append(string1).append(string2)得到最终字符串AFD2CC19C413D6642AE8DB0E39AEF7FD。

实施例2

根据本发明的实施例，本发明提供一种用于生成源代码缺陷漏洞ID的设备，如图3所示，包括：存储器10、处理器12及存储在所述存储器10上并可在所述处理器12上运行的计算机程序，所述计算机程序被所述处理器12执行时实现如上实施例1中所述的用于生成源代码缺陷漏洞ID的方法的步骤。

实施例3

根据本发明的实施例，本发明提供一种计算机可读存储介质，所述计算机可读存储介质上存储有信息传递的实现程序，所述程序被处理器执行时实现如上实施例1中所述的用于生成源代码缺陷漏洞ID的方法的步骤。

本发明的技术方案选择的6大指标能满足全局唯一性的特点，选择的6大指标能满足多次相同性的特点，生成的目标字符串来源于指定的字符集合，并且HEX算法保证了目标字符串的不可预测，HEX算法还保证了目标字符串的最终长度是固定的。因此本发明的新的漏洞ID的产生方式满足了漏洞ID的一次唯一性和多次不变性的要求。

通过以上关于实施方式的描述，所属领域的技术人员可以清楚地了解到，本申请可借助软件及必需的通用硬件来实现，当然也可以通过硬件实现。基于这样的理解，本申请的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如计算机的软盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、闪存(FLASH)、硬盘或光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述的方法。

如上所述，已经给出了本发明的优选实施例的详细描述，以使本领域技术人员能够实施和实践本发明。虽然已经参照示例性实施例描述了本发明，但是本领域技术人员将会理解，在不脱离所附权利要求书中描述的本发明的精神或范围的情况下，可以在本发明中进行各种修改和改变。因此，本发明不应限于在此描述的特定实施例，而应被赋予与本文公开的原理和新颖特征一致的最宽范围。

Claims (7)

1.一种用于生成源代码缺陷漏洞ID的方法，其特征在于，所述方法包括：

步骤1：连接多个指标来确定初始字符串；

步骤2：根据所确定的初始字符串，获得二进制的数组；

步骤3：通过所述数组生成16位的MD5码；

步骤4：通过运算生成最终的32位的实例ID。

2.根据权利要求1所述的方法，

其特征在于，所述多个指标包括由数字和字母组成的语言规则ID、当前类的类名称、当前缺陷所在的函数的名称、发生缺陷的函数点、发生缺陷所在位置函数的输入点和发生缺陷所在位置函数的输出点，其中所述语言规则ID是唯一的，所述当前类的类名称不随着版本升级而改变。

3.根据权利要求1所述的方法，

其特征在于，在步骤4中，对所述MD5码进行HEX计算，以将所述MD码转换成第一字符串和第二字符串，然后连接所述第一字符串和第二字符串。

4.根据权利要求3所述的方法，

其特征在于，所述第一字符串和第二字符串由以下字符组中的字符组成：{'0','1','2','3','4','5','6','7','8','9','A','B','C','D','E','F'}。

5.根据权利要求3所述的系统，

其特征在于，对所述MD5码进行HEX计算，所计算的结果作为所述第一字符串，然后对所述第一字符串进行移位和与运算，所计算的结果作为所述第二字符串。

6.一种用于生成源代码缺陷漏洞ID的设备，其特征在于，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如权利要求1至5中任一项所述的用于生成源代码缺陷漏洞ID的方法的步骤。

7.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有信息传递的实现程序，所述程序被处理器执行时实现如权利要求1至5中任一项所述的用于生成源代码缺陷漏洞ID的方法的步骤。

Images