CN112100620B - 代码安全检测方法、装置、设备和可读存储介质 - Google Patents

代码安全检测方法、装置、设备和可读存储介质 Download PDF

Info

Publication number
CN112100620B
CN112100620B CN202010921287.7A CN202010921287A CN112100620B CN 112100620 B CN112100620 B CN 112100620B CN 202010921287 A CN202010921287 A CN 202010921287A CN 112100620 B CN112100620 B CN 112100620B
Authority
CN
China
Prior art keywords
function
safety
dangerous
library
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010921287.7A
Other languages
English (en)
Other versions
CN112100620A (zh
Inventor
崇瑞
刘晓宇
欧迈
张敏
蔡芷铃
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Priority to CN202010921287.7A priority Critical patent/CN112100620B/zh
Publication of CN112100620A publication Critical patent/CN112100620A/zh
Application granted granted Critical
Publication of CN112100620B publication Critical patent/CN112100620B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本申请实施例公开了一种代码安全检测方法、装置、设备和可读存储介质,涉及计算机编程和网络安全技术。具体实现方案为解析待检测的源代码,得到所述源代码使用的目标函数;如果所述目标函数检测为设定危险函数,确定与所述设定危险函数对应的安全函数;向用户提示将所述目标函数替换为所述安全函数。本申请实施例可以简化检测逻辑,适用于复杂的业务场景与代码结构。

Description

代码安全检测方法、装置、设备和可读存储介质
技术领域
本申请涉及计算机技术,尤其涉及计算机编程和网络安全技术领域。
背景技术
近年来,互联网安全漏洞导致的安全事件愈加严重,其中大部分漏洞是由于开发人员缺少安全防护意识、语言特性理解不当或错误使用了可能导致漏洞的函数造成的。这些漏洞一旦被黑客组织或不法分子利用,将会造成用户敏感信息泄露、商业秘密泄露、金钱损失等严重后果。因此,互联网公司致力于抢在黑客之前发现并修复代码中的漏洞。
传统的代码安全检测方法包括:使用软件源代码安全测试工具(如白盒漏洞扫描器)在上线前对代码进行扫描,通过解析语法树、追踪敏感变量等一系列步骤判定漏洞是否存在,对于复杂的业务场景与代码结构是无能为力的,存在漏报和误报的情况;而且检测逻辑复杂,消耗较多的计算机资源。
发明内容
本申请实施例提供了一种代码安全检测方法、装置、设备和可读存储介质。
第一方面,本申请实施例提供了一种代码安全检测方法,包括:
解析待检测的源代码,得到所述源代码使用的目标函数;
如果所述目标函数检测为设定危险函数,确定与所述设定危险函数对应的安全函数;
向用户提示将所述目标函数替换为所述安全函数。
第二方面,本申请实施例还提供了一种代码安全检测装置,包括:
解析模块,用于解析待检测的源代码,得到所述源代码使用的目标函数;
确定模块,用于如果所述目标函数检测为设定危险函数,确定与所述设定危险函数对应的安全函数;
提示模块,用于向用户提示将所述目标函数替换为所述安全函数。
第三方面,本申请实施例提供了一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行任一实施例所提供的一种代码安全检测方法。
第四方面,本申请实施例提供了一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行任一实施例所提供的一种代码安全检测方法。
根据本申请的技术可以简化检测逻辑,适用于复杂的业务场景与代码结构。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本申请的限定。其中:
图1是本申请实施例中的第一种代码安全检测方法的流程图;
图2a是本申请实施例中的第二种代码安全检测方法的流程图;
图2b是本申请实施例中的通过继承重写法实现安全基础库的示意图;
图2c是本申请实施例中的通过继承重写法实现安全基础库示例的示意图;
图2d是本申请实施例中的通过继承重载法实现安全基础库的示意图;
图2e是本申请实施例中的通过继承重载法实现安全基础库示例的示意图;
图2f是本申请实施例中的通过完全封装法实现安全基础库的示意图;
图2g是本申请实施例中的通过完全封装法实现安全基础库示例的示意图;
图2h是本申请实施例中的通过重新实现法实现安全基础库的示意图;
图2i是本申请实施例中的通过重新实现法实现安全基础库示例的示意图;
图3是本申请实施例中的第三种代码安全检测方法的流程图;
图4是本申请实施例中的代码安全检测装置的结构图;
图5是本申请实施例中的电子设备的结构示意图。
具体实施方式
以下结合附图对本申请的示范性实施例做出说明,其中包括本申请实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本申请的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
根据本申请的实施例,图1是本申请实施例中的第一种代码安全检测方法的流程图,本申请实施例适用于对代码的安全性进行检测的情况。该方法通过代码安全检测装置执行,该装置采用软件和/或硬件实现,并具体配置于具备一定数据运算能力的电子设备中。
如图1所示的代码安全检测方法,包括:
S110、解析待检测的源代码,得到源代码使用的目标函数。
本实施例中,待检测的源代码为已编码完成但未上线的代码,需要对源代码的安全性进行检测,例如是否窃取用户隐私信息以及是否有漏洞等。鉴于源代码的安全性主要受其使用的函数的影响,本实施例主要对源代码使用的函数进行安全性检测。
解析源代码主要为扫描源代码使用的函数,称为目标函数。一般的,目标函数的数量为至少一个,对每个目标函数依次执行S120和S130。
S120、如果目标函数检测为设定危险函数,确定与设定危险函数对应的安全函数。
设定危险函数指能够实现基础功能,但同时具有危险性的函数。例如,上传文件的危险函数具有“上传文件”这一基础功能,但该函数同时窃取用户隐私信息,具有危险性。
本实施例中,代码中应禁止使用任何设定危险函数,而应使用与设定危险函数对应的安全函数。安全函数指能够实现设定危险函数的基础功能,但同时实现安全过滤功能的函数。
检测目标函数是否为一设定危险函数,具体可以通过比较函数名和参数名是否分别一致来检测。如果目标函数检测为设定危险函数。例如,上传文件的安全函数具有“上传文件”这一基础功能,同时对窃取用户隐私信息的行为进行过滤或拦截。可见,相对应的设定危险函数与安全函数具有同样的基础功能,但安全函数不再实现具有危险性的功能,使其具有安全性。
可选的,预先收集至少一个危险函数,称为设定危险函数。对于每个危险函数,构造对应的安全函数。
S130、向用户提示将目标函数替换为安全函数。
在编码的应用场景中,用户为编码人员。可选的,可以向用户的源代码编译环境中返回提示消息“将目标函数替换为安全函数”。此外,还可以通过互联网或移动网络向用户返回前述提示消息。
进一步的,待用户修改代码后,需要将修改后的代码上传。本实施例继续对修改后的代码进行安全性检测,详见S110-S130的描述,直到源代码中使用的目标函数均未检测为设定危险函数,说明源代码不包括已知的危险函数,可以得出源代码安全的检测结果。
相比与现有技术中检测源代码的解析语法树和追踪敏感变量,本实施例通过解析源代码得到目标函数,并检测目标函数是否为设定危险函数,这种是与否的函数维度的检测,使得检测逻辑简单直接,能够提高检测效率并减少检测过程中的计算机资源消耗,几乎不存在误报、漏报的情况;本实施例预先构建与设定危险函数对应的安全函数,通过提示将安全函数替换为目标函数,使源代码通过安全性检测,降低了修改成本,用户仅需实现业务逻辑,无需考虑安全问题,减少了不确定因素,同时更有利于规范用户的安全编码习惯;而且本实施例提供的方法仅涉及到使用的函数,不受业务场景和代码结果的限制,适用于复杂的业务场景与代码结构。
根据本申请的实施例,图2a是本申请实施例中的第二种代码安全检测方法的流程图,本申请实施例在上述各实施例的技术方案的基础上对安全函数的获得过程进行优化。
图2a所示的代码安全检测方法,具体包括以下操作:
S210、在设定危险函数中内嵌安全防护逻辑,得到与设定危险函数对应的安全函数。
安全函数实质是内嵌安全防护逻辑的设定危险函数,安全防护逻辑与设定危险函数的基础功能相关。通过“内嵌”的方式,使得执行安全函数时,除了执行基础功能之外,还自动执行安全过滤功能,保证一个设定危险函数对应一个安全函数,且保证在源代码中安全函数可以直接替换对应的设定危险函数。在函数替换前后,源代码的整体功能不改变,但安全性大幅提高。
相比于在设定危险函数之前实现一系列安全过滤函数,本实施例通过将安全防护逻辑内嵌于设定危险函数,得到对应的安全函数,使得安全函数可以直接替换设定危险函数,代码修改简单;而且,安全函数可以保留设定危险函数的基础功能,只需要内嵌安全防护逻辑即可开发对应的安全函数,减少开发难度和开发周期。
可选的,设定危险函数存储在危险类库中,危险类库为原生或第三方类库,例如语言的原生类库。示例性的,设定危险函数如Java中执行命令的函数,如果在使用时没有做好安全防护,就可能导致命令注入漏洞。
实现与危险类库对应的安全基础库,安全基础库中存储有安全函数。安全基础库的实现方法根据危险类库的特点而不同,有继承重载法、继承重写法、完全封装法、重新实现法等。每一个危险类库都对应一个安全基础库,实际上,危险类库中可能只有几个函数是危险的,安全基础库只针对类库中的危险函数进行安全过滤,根据每个类库的特点不同,最终安全基础库的形态可能也不同。
下面通过几种可选实施方式分别描述安全基础库(特别是安全基础库中安全函数)的实现过程。
第一种可选实施方式:继承危险类库,得到安全基础库;将安全基础库中的设定危险函数中嵌入安全防护逻辑;其中,危险类库包括设定危险函数,安全基础库包括与设定危险函数对应的安全函数。
本实施方式又称为继承重写法。图2b是本申请实施例中的通过继承重写法实现安全基础库的示意图,首先继承危险类库中的无危险函数和设定危险函数。然后重写安全基础库中的设定危险函数,具体先使用安全防护逻辑将设定危险函数中可能出现漏洞的参数进行处理,再调用设定危险函数,最终返回结果。安全函数与设定危险函数的函数名和参数相同。使用继承重写法实现的安全基础库,除了把危险函数修改为安全函数外,安全基础库中还含有危险类库的所有不危险函数,这是继承的特性所决定的。
图2c是本申请实施例中的通过继承重写法实现安全基础库示例的示意图。JdbcTemplate类所对应的安全基础库SafeJdbcTemplate就是使用继承重写法实现,通过继承JdbcTemplate类后重写类库底层的query函数,在其中插入了IN/LIKE的预编译逻辑与表名/列名/排序方式的过滤逻辑,然后再调用原本的query函数逻辑。其中,预编译逻辑和过滤逻辑为SQL(Structured Query Language,结构化查询语言)注入漏洞防护方法。
第二种可选实施方式:继承危险类库,得到安全基础库;在安全基础库中重载危险类库中的设定危险函数,并将重载的设定危险函数中嵌入安全防护逻辑;将安全基础库中继承的设定危险函数设置为禁止使用;其中,危险类库包括设定危险函数,安全基础库包括与设定危险函数对应的安全函数以及设定危险函数。
本实施方式又称为继承重写法。图2d是本申请实施例中的通过继承重载法实现安全基础库的示意图,首先继承危险类库中的无危险函数和设定危险函数。由于设定危险函数不能被重写,所以重载设定危险函数,并将重载的设定危险函数中嵌入安全防护逻辑。此时重载的安全函数与设定危险函数的函数名相同而参数不同。代码检查时会禁止使用不能被重写的危险函数,只允许使用重载后的安全函数。使用继承重在法实现的安全基础库,除了把危险函数修改为安全函数外,安全基础库中还含有危险类库的所有不危险函数,这是继承的特性所决定的。
图2e是本申请实施例中的通过继承重载法实现安全基础库示例的示意图。ObjectInputStream类所对应的安全基础库SafeObjectInputStream就是使用继承重载法实现的,由于继承ObjectInputStream类后不能重写readObejct,SafeObjectInputStream中实现了两个readObejct函数。可传入class数组白名单和字符串数组白名单。在反序列化前,重载的readObejct函数会先根据白名单对要反序列化的类进行检查,若匹配,才会继续进行原readObject的反序列化逻辑。这种类检查的方式可以有效防御反序列化漏洞。
第三种可选实施方式:在安全基础库中实例化危险类库对象,危险类库包括设定危险函数;在安全基础库中实现设定危险函数的安全防护逻辑,以及通过危险类库对象实例调用设定危险函数的逻辑,得到与设定危险函数对应的安全函数。
本实施方式又称为完全封装法。图2f是本申请实施例中的通过完全封装法实现安全基础库的示意图。有些类库不能被继承,因此无法直接对其中的一些函数进行更改,此时就需要完全封装这些类库。首先在安全基础库中实例化危险类库对象。封装无危险函数时,直接通过实例调用对应的无危险函数即可;封装设定危险函数时,应先实现设定危险函数的安全防护逻辑,再通过危险类库对象实例调用对应的设定危险函数,此时封装后的函数就成为了一个安全函数。
图2g是本申请实施例中的通过完全封装法实现安全基础库示例的示意图。HttpURLConenction类对应的安全基础库SafeHttpURLConenction类就是使用完全封装法实现的,由于HttpURLConenction是final类不能继承,因此必须要重新写一个安全类库,并在安全类库中实例化HttpURLConenction对象,当SafeHttpURLConenction中需要封装不危险函数时,直接通过对象调用HttpURLConenction中的原函数即可;当封装getInputStream等会对外发送超文本传输协议请求的设定危险函数时,需要先检查访问的IP(InternetProtocol,网际互连协议)是否为内网IP,若不是,则再通过对象实例调用HttpURLConenction中的设定危险函数。
第四种可选实施方式:在安全基础库中,重新实现危险类库中设定危险函数的基础功能;在执行基础功能前,实现与基础功能适配的安全防护逻辑,得到与设定危险函数对应的安全函数。
本实施方式又称为重新实现法。图2h是本申请实施例中的通过重新实现法实现安全基础库的示意图。某些类库内部有着较高的复杂度,封装和继承都不利于实现安全基础库,但其功能较单一好替代,此时可以使用重新实现法,抛开危险类库,实现完全相同功能的同时内置安全防护逻辑的安全基础库。
图2i是本申请实施例中的通过重新实现法实现安全基础库示例的示意图。文件上传对应的安全基础库就是使用重新实现法实现的,由于MultipartFile.transferTo文件上传工具内部有着很多与上传无关的功能,较为复杂,又难以继承和封装,需要完全独立实现一个安全基础库SafeFile,提供安全上传文件的功能(即基础功能)。在执行基础功能前,需要实现与基础功能适配的安全防护逻辑,即首先要检测文件名后缀、文件名长度、文件长度是否合规,然后再实现文件上传这一基础功能。
S220、解析待检测的源代码,得到源代码使用的目标函数。
S230、如果目标函数检测为设定危险函数,确定与设定危险函数对应的安全函数。
S240、向用户提示将目标函数替换为安全函数。
本实施例针对危险类库的特点提供了几种安全基础库的实现方法,几乎覆盖了所有类型的危险类库。通过合适的方法实现安全基础库,有效地保证安全函数与设定危险函数的功能相同,并成功嵌入安全防护逻辑。
根据本申请的实施例,图3是本申请实施例中的第三种代码安全检测方法的流程图,本实施例在上述实施例的基础上,对安全函数的确定过程进行优化。
如图3所示的代码安全检测方法,包括:
S310、解析待检测的源代码,得到源代码使用的目标函数。
S320、将目标函数与安全编码规范中的至少一个设定危险函数进行匹配。
预先编纂安全编码规范。具体的,安全编码规范包括至少一个设定危险函数,将目标函数与安全编码规范中的各设定危险函数分别匹配,例如匹配函数名和参数。
S330、如果目标函数与一设定危险函数匹配,确定与设定危险函数对应的安全函数。
如果目标函数与一设定危险函数的函数名和参数相匹配,认为源代码使用了不具有安全性的函数,需要替换为对应的安全函数。
可选的,安全编码规范还包括与每个设定危险函数分别对应的安全函数,则从安全编码规范中,查找与设定危险函数对应的安全函数。
可选的,根据上述实施例的描述,通过根据危险类库生成安全基础库,从而得到安全基础库中的安全函数。基于此,基于安全基础库和危险类库生成安全编码规范。具体的,安全编码规范包括明确禁止用户使用不具有安全性的危险类库中的设定危险函数,并推荐其使用对应的安全基础库中的安全函数取而代之。
本实施例在安全编码规范中还加入了用于替换的安全函数,从而检测到使用设定危险函数后,可以直接基于安全编码规范提供用于替换的安全函数。
S340、向用户提示将目标函数替换为安全函数。
在代码提交环节中进行代码检测,对安全编码规范中禁止使用的类库进行拦截并做出提示,保证入库的代码符合安全编码规范。这样即可保证用户写出的源代码是安全的。
本实施例基于至少一个设定危险函数生成安全编码规范,检查源代码是否使用安全编码规中规定的禁止使用的设定危险函数。相比于传统的安全编码规范主要描述一些漏洞示例、危害,并给出对应的正例和反例,本实施例中的安全编码规范是简单直接明确的,非常方便代码检查检出并约束。
可选的,在上述各实施例的基础上,在解析待检测的源代码,得到源代码使用的目标函数之前,还包括:在进入编码环境时,向用户提供安全编码规范和安全基础库。
可选的,在进入编码环境时,向用户发送安全编码规范和安全基础库,以方便用户在编码时遵守安全编码规范,并使用安全基础库中的安全函数。
相比与传统的安全编码规范中内容比较空泛,规范的效果往往取决于用户的学习能力和经验;本方案中的安全编码规范明确禁止使用了一些危险类库,并给出了明确的替代类库,内容具体直接,学习成本低。而且,安全编码规范+安全基础库的模式使用户只关注业务逻辑也能写出自带有安全防护的代码,与传统的安全意识培训与传统的安全编码规范相结合的安全解决方案相比,用户对安全的学习成本降低了,写出代码的防护能力提升了。
最终代码检测、安全编码规范和安全基础库三者实现了一个强约束力,强迫用户使用安全函数,自然写出来的代码也就没有漏洞。需要说明的是,如果没有代码检查和编码规范,只有安全基础库,那么用户不受约束,安全基础库的作用也不明显。可见,虽然最终的安全由安全基础库保证,但实际上完全的安全来自于这种约束力。
综合上述各实施例提供的代码安全检测方法,具有以下技术效果:
1)约束力强,覆盖面广,效果显著。无论是安全编码规范的简单直接,还是安全基础库的内置安全能力,都降低了用户写出安全代码的成本,且依靠代码检查可保证编码规范的强制执行,对用户的约束力强,避免规范成为摆设。同时,由于所有可能引发漏洞的设定危险函数都被替换为底层带有安全防护逻辑的安全函数,攻击面几乎被完全覆盖。
2)安全防护能力强。本申请各实施例的安全防护能力来自于安全基础库内置的安全防护逻辑。安全基础库由安全工程师设计实现,其考虑到了来自各个层面的攻击,防护能力更强。
3)安全能力介入早。本申请各实施例将安全检测前置到研发周期最开始的阶段,使用户无感知地写出较为安全的代码,显著提高了代码安全性。
根据本申请的实施例,图4是本申请实施例中的代码安全检测装置的结构图,本申请实施例适用于对代码的安全性进行检测的情况,该装置采用软件和/或硬件实现,并具体配置于具备一定数据运算能力的电子设备中。
如图4所示的一种代码安全检测装置400,包括:解析模块401、确定模块402和提示模块403;其中,
解析模块401,用于解析待检测的源代码,得到源代码使用的目标函数;
确定模块402,用于如果目标函数检测为设定危险函数,确定与设定危险函数对应的安全函数;
提示模块403,用于向用户提示将目标函数替换为安全函数。
相比与现有技术中检测源代码的解析语法树和追踪敏感变量,本实施例通过解析源代码得到目标函数,并检测目标函数是否为设定危险函数,这种是与否的函数维度的检测,使得检测逻辑简单直接,能够提高检测效率并减少检测过程中的计算机资源消耗,几乎不存在误报、漏报的情况;本实施例预先构建与设定危险函数对应的安全函数,通过提示将安全函数替换为目标函数,使源代码通过安全性检测,降低了修改成本,用户仅需实现业务逻辑,无需考虑安全问题,减少了不确定因素,同时更有利于规范用户的安全编码习惯;而且本实施例提供的方法仅涉及到使用的函数,不受业务场景和代码结果的限制,适用于复杂的业务场景与代码结构。
进一步的,该装置还包括:内嵌模块,用于在解析待检测的源代码,得到源代码使用的目标函数之前,在设定危险函数中内嵌安全防护逻辑,得到与设定危险函数对应的安全函数。
进一步的,内嵌模块,包括:第一继承单元,用于继承危险类库,得到安全基础库;第一嵌入单元,用于将安全基础库中的设定危险函数中嵌入安全防护逻辑;其中,危险类库包括设定危险函数,安全基础库包括与设定危险函数对应的安全函数。
进一步的,内嵌模块,包括:第二继承单元,用于继承危险类库,得到安全基础库;第二嵌入单元,用于在安全基础库中重载危险类库中的设定危险函数,并将重载的设定危险函数中嵌入安全防护逻辑;设置单元,用于将安全基础库中继承的设定危险函数设置为禁止使用;其中,危险类库包括设定危险函数,安全基础库包括与设定危险函数对应的安全函数以及设定危险函数。
进一步的,内嵌模块,包括:实例化单元,用于在安全基础库中实例化危险类库对象,危险类库包括设定危险函数;调用单元,用于在安全基础库中实现设定危险函数的安全防护逻辑,以及通过危险类库对象实例调用设定危险函数的逻辑,得到与设定危险函数对应的安全函数。
进一步的,内嵌模块,包括:重新实现单元,用于在安全基础库中,重新实现危险类库中设定危险函数的基础功能;逻辑实现单元,用于在执行基础功能前,实现与基础功能适配的安全防护逻辑,得到与设定危险函数对应的安全函数。
进一步的,确定模块402,包括:匹配单元,用于将目标函数与安全编码规范中的至少一个设定危险函数进行匹配;确定单元,用于如果目标函数与一设定危险函数匹配,确定与设定危险函数对应的安全函数。
进一步的,确定单元402在确定与设定危险函数对应的安全函数时,具体用于:从安全编码规范中,查找与设定危险函数对应的安全函数;其中,安全编码规范基于安全基础库和危险类库生成。
进一步的,该装置还包括:提供模块,用于在解析待检测的源代码,得到源代码使用的目标函数之前,在进入编码环境时,向用户提供安全编码规范和安全基础库。
上述代码安全检测装置可执行本申请任意实施例所提供的代码安全检测方法,具备执行代码安全检测方法相应的功能模块和有益效果。
根据本申请的实施例,本申请还提供了一种电子设备和一种可读存储介质。
如图5所示,是实现本申请实施例的代码安全检测方法的电子设备的框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本申请的实现。
如图5所示,该电子设备包括:一个或多个处理器501、存储器502,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在电子设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个电子设备,各个终端提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图5中以一个处理器501为例。
存储器502即为本申请所提供的非瞬时计算机可读存储介质。其中,存储器存储有可由至少一个处理器执行的指令,以使至少一个处理器执行本申请所提供的代码安全检测方法。本申请的非瞬时计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行本申请所提供的代码安全检测方法。
存储器502作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本申请实施例中的代码安全检测方法对应的程序指令/模块(例如,附图4所示的包括解析模块401、确定模块402和提示模块403)。处理器501通过运行存储在存储器502中的非瞬时软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例中的代码安全检测方法。
存储器502可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储实现代码安全检测方法的电子设备的使用所创建的数据等。此外,存储器502可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些实施例中,存储器502可选包括相对于处理器501远程设置的存储器,这些远程存储器可以通过网络连接至执行代码安全检测方法的电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
执行代码安全检测方法的电子设备还可以包括:输入装置503和输出装置504。处理器501、存储器502、输入装置503和输出装置504可以通过总线或者其他方式连接,图5中以通过总线连接为例。
输入装置503可接收输入的数字或字符信息,以及产生与执行代码安全检测方法的电子设备的用户设置以及功能控制有关的键信号输入,例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置604可以包括显示设备、辅助照明装置(例如,LED)和触觉反馈装置(例如,振动电机)等。该显示设备可以包括但不限于,液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
此处描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、专用ASIC(专用集成电路)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
这些计算程序(也称作程序、软件、软件应用、或者代码)包括可编程处理器的机器指令,并且可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。如本文使用的,术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如,磁盘、光盘、存储器、可编程逻辑装置(PLD)),包括,接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、互联网和区块链网络。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发申请中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本申请公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。

Claims (16)

1.一种代码安全检测方法,包括:
解析待检测的源代码,得到所述源代码使用的目标函数;
如果所述目标函数检测为设定危险函数,确定与所述设定危险函数对应的安全函数;
向用户提示将所述目标函数替换为所述安全函数;
其中,在所述解析待检测的源代码,得到所述源代码使用的目标函数之前,还包括:
在所述设定危险函数中内嵌安全防护逻辑,得到与所述设定危险函数对应的安全函数;
其中,所述在所述设定危险函数中内嵌安全防护逻辑,得到与所述设定危险函数对应的安全函数,包括:
继承危险类库,得到安全基础库;
在所述安全基础库中重载所述危险类库中的设定危险函数,并将重载的设定危险函数中嵌入安全防护逻辑;
将所述安全基础库中继承的设定危险函数设置为禁止使用;
其中,所述危险类库包括设定危险函数,所述安全基础库包括与所述设定危险函数对应的安全函数以及所述设定危险函数。
2.根据权利要求1所述的方法,其中,所述在所述设定危险函数中内嵌安全防护逻辑,得到与所述设定危险函数对应的安全函数,包括:
继承危险类库,得到安全基础库;
将所述安全基础库中的设定危险函数中嵌入安全防护逻辑;
其中,所述危险类库包括设定危险函数,所述安全基础库包括与所述设定危险函数对应的安全函数。
3.根据权利要求1所述的方法,其中,所述在所述设定危险函数中内嵌安全防护逻辑,得到与所述设定危险函数对应的安全函数,包括:
在安全基础库中实例化危险类库对象,所述危险类库包括设定危险函数;
在安全基础库中实现所述设定危险函数的安全防护逻辑,以及通过危险类库对象实例调用所述设定危险函数的逻辑,得到与所述设定危险函数对应的安全函数。
4.根据权利要求1所述的方法,其中,所述在所述设定危险函数中内嵌安全防护逻辑,得到与所述设定危险函数对应的安全函数,包括:
在安全基础库中,重新实现所述危险类库中设定危险函数的基础功能;
在执行所述基础功能前,实现与所述基础功能适配的安全防护逻辑,得到与所述设定危险函数对应的安全函数。
5.根据权利要求1-4任一项所述的方法,其中,所述如果所述目标函数检测为设定危险函数,确定与所述设定危险函数对应的安全函数,包括:
将所述目标函数与安全编码规范中的至少一个设定危险函数进行匹配;
如果所述目标函数与一设定危险函数匹配,确定与所述设定危险函数对应的安全函数。
6.根据权利要求5所述的方法,其中,所述确定与所述设定危险函数对应的安全函数,包括:
从所述安全编码规范中,查找与所述设定危险函数对应的安全函数;
其中,所述安全编码规范基于所述安全基础库和危险类库生成;
所述安全编码规范基于所述安全基础库和危险类库生成,包括:安全编码规范包括明确禁止用户使用不具有安全性的危险类库中的设定危险函数,并推荐用户使用对应的安全基础库中的安全函数取而代之。
7.根据权利要求6所述的方法,在所述解析待检测的源代码,得到所述源代码使用的目标函数之前,还包括:
在进入编码环境时,向所述用户提供所述安全编码规范和所述安全基础库。
8.一种代码安全检测装置,包括:
解析模块,用于解析待检测的源代码,得到所述源代码使用的目标函数;
确定模块,用于如果所述目标函数检测为设定危险函数,确定与所述设定危险函数对应的安全函数;
提示模块,用于向用户提示将所述目标函数替换为所述安全函数;
所述装置,还包括:
内嵌模块,用于在所述解析待检测的源代码,得到所述源代码使用的目标函数之前,在所述设定危险函数中内嵌安全防护逻辑,得到与所述设定危险函数对应的安全函数;
其中,所述内嵌模块,包括:
第二继承单元,用于继承危险类库,得到安全基础库;
第二嵌入单元,用于在所述安全基础库中重载所述危险类库中的设定危险函数,并将重载的设定危险函数中嵌入安全防护逻辑;
设置单元,用于将所述安全基础库中继承的设定危险函数设置为禁止使用;
其中,所述危险类库包括设定危险函数,所述安全基础库包括与所述设定危险函数对应的安全函数以及所述设定危险函数。
9.根据权利要求8所述的装置,其中,所述内嵌模块,包括:
第一继承单元,用于继承危险类库,得到安全基础库;
第一嵌入单元,用于将所述安全基础库中的设定危险函数中嵌入安全防护逻辑;
其中,所述危险类库包括设定危险函数,所述安全基础库包括与所述设定危险函数对应的安全函数。
10.根据权利要求8所述的装置,其中,所述内嵌模块,包括:
实例化单元,用于在安全基础库中实例化危险类库对象,所述危险类库包括设定危险函数;
调用单元,用于在安全基础库中实现所述设定危险函数的安全防护逻辑,以及通过危险类库对象实例调用所述设定危险函数的逻辑,得到与所述设定危险函数对应的安全函数。
11.根据权利要求8所述的装置,其中,所述内嵌模块,包括:
重新实现单元,用于在安全基础库中,重新实现所述危险类库中设定危险函数的基础功能;
逻辑实现单元,用于在执行所述基础功能前,实现与所述基础功能适配的安全防护逻辑,得到与所述设定危险函数对应的安全函数。
12.根据权利要求8-11任一项所述的装置,其中,所述确定模块,包括:
匹配单元,用于将所述目标函数与安全编码规范中的至少一个设定危险函数进行匹配;
确定单元,用于如果所述目标函数与一设定危险函数匹配,确定与所述设定危险函数对应的安全函数。
13.根据权利要求12所述的装置,其中,所述确定单元在确定与所述设定危险函数对应的安全函数时,具体用于:
从所述安全编码规范中,查找与所述设定危险函数对应的安全函数;
其中,所述安全编码规范基于所述安全基础库和危险类库生成;
所述安全编码规范基于所述安全基础库和危险类库生成,包括:安全编码规范包括明确禁止用户使用不具有安全性的危险类库中的设定危险函数,并推荐用户使用对应的安全基础库中的安全函数取而代之。
14.根据权利要求13所述的装置,还包括:
提供模块,用于在所述解析待检测的源代码,得到所述源代码使用的目标函数之前,在进入编码环境时,向所述用户提供所述安全编码规范和所述安全基础库。
15.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的一种代码安全检测方法。
16.一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行权利要求1-7中任一项所述的一种代码安全检测方法。
CN202010921287.7A 2020-09-04 2020-09-04 代码安全检测方法、装置、设备和可读存储介质 Active CN112100620B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010921287.7A CN112100620B (zh) 2020-09-04 2020-09-04 代码安全检测方法、装置、设备和可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010921287.7A CN112100620B (zh) 2020-09-04 2020-09-04 代码安全检测方法、装置、设备和可读存储介质

Publications (2)

Publication Number Publication Date
CN112100620A CN112100620A (zh) 2020-12-18
CN112100620B true CN112100620B (zh) 2024-02-06

Family

ID=73757333

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010921287.7A Active CN112100620B (zh) 2020-09-04 2020-09-04 代码安全检测方法、装置、设备和可读存储介质

Country Status (1)

Country Link
CN (1) CN112100620B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112906004A (zh) * 2021-01-26 2021-06-04 北京顶象技术有限公司 基于汇编代码的漏洞检测方法、装置和电子设备
CN117290846A (zh) * 2022-06-16 2023-12-26 中兴通讯股份有限公司 一种代码管理方法、装置、电子设备及存储介质

Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103081430A (zh) * 2010-08-26 2013-05-01 万特里克斯公司 用于过滤流数据的方法和装置
CN103577758A (zh) * 2012-07-31 2014-02-12 西门子公司 程序的代码审核方法和装置
CN103678118A (zh) * 2013-10-18 2014-03-26 北京奇虎测腾科技有限公司 一种Java源代码的合规性检测方法和装置
CN104732146A (zh) * 2015-04-03 2015-06-24 上海斐讯数据通信技术有限公司 一种Android程序漏洞检测方法及系统
CN105100042A (zh) * 2014-05-06 2015-11-25 塞纳克公司 用于对应用中的漏洞进行分布式发现的计算机系统
CN106055980A (zh) * 2016-05-30 2016-10-26 南京邮电大学 一种基于规则的JavaScript安全性检测方法
CN107949846A (zh) * 2015-06-27 2018-04-20 迈可菲有限责任公司 恶意线程挂起的检测
CN109784039A (zh) * 2018-11-28 2019-05-21 杭州天宽科技有限公司 移动终端安全运行空间的构建方法、电子设备、存储介质
CN109977670A (zh) * 2019-03-12 2019-07-05 福建天晴数码有限公司 基于插件加载的安卓应用安全监测方法、存储介质
CN110197072A (zh) * 2018-06-04 2019-09-03 腾讯科技(深圳)有限公司 软件安全漏洞的发掘方法及系统、存储介质和计算机设备
CN110471662A (zh) * 2019-08-21 2019-11-19 北京百度网讯科技有限公司 程序转换方法、装置及设备
CN110505247A (zh) * 2019-09-27 2019-11-26 百度在线网络技术(北京)有限公司 攻击检测方法、装置、电子设备及存储介质
CN110532176A (zh) * 2019-07-31 2019-12-03 平安科技(深圳)有限公司 一种智能合约的形式化验证方法、电子装置及存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9361068B2 (en) * 2014-05-21 2016-06-07 International Business Machines Corporation System and method for using development objectives to guide implementation of source code
US10528344B2 (en) * 2017-08-31 2020-01-07 Oracle International Corporation Modular points-to analysis
JP7060803B2 (ja) * 2018-06-20 2022-04-27 富士通株式会社 情報処理装置、コンパイラプログラム及びコンパイル方法

Patent Citations (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103081430A (zh) * 2010-08-26 2013-05-01 万特里克斯公司 用于过滤流数据的方法和装置
CN103577758A (zh) * 2012-07-31 2014-02-12 西门子公司 程序的代码审核方法和装置
CN103678118A (zh) * 2013-10-18 2014-03-26 北京奇虎测腾科技有限公司 一种Java源代码的合规性检测方法和装置
CN105100042A (zh) * 2014-05-06 2015-11-25 塞纳克公司 用于对应用中的漏洞进行分布式发现的计算机系统
CN104732146A (zh) * 2015-04-03 2015-06-24 上海斐讯数据通信技术有限公司 一种Android程序漏洞检测方法及系统
CN107949846A (zh) * 2015-06-27 2018-04-20 迈可菲有限责任公司 恶意线程挂起的检测
CN106055980A (zh) * 2016-05-30 2016-10-26 南京邮电大学 一种基于规则的JavaScript安全性检测方法
CN110197072A (zh) * 2018-06-04 2019-09-03 腾讯科技(深圳)有限公司 软件安全漏洞的发掘方法及系统、存储介质和计算机设备
CN109784039A (zh) * 2018-11-28 2019-05-21 杭州天宽科技有限公司 移动终端安全运行空间的构建方法、电子设备、存储介质
CN109977670A (zh) * 2019-03-12 2019-07-05 福建天晴数码有限公司 基于插件加载的安卓应用安全监测方法、存储介质
CN110532176A (zh) * 2019-07-31 2019-12-03 平安科技(深圳)有限公司 一种智能合约的形式化验证方法、电子装置及存储介质
CN110471662A (zh) * 2019-08-21 2019-11-19 北京百度网讯科技有限公司 程序转换方法、装置及设备
CN110505247A (zh) * 2019-09-27 2019-11-26 百度在线网络技术(北京)有限公司 攻击检测方法、装置、电子设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于可执行代码的漏洞检测技术;忽朝俭;张甲;李舟军;时志伟;张;;清华大学学报(自然科学版)(第S2期);第2176-2180页 *

Also Published As

Publication number Publication date
CN112100620A (zh) 2020-12-18

Similar Documents

Publication Publication Date Title
Dahse et al. Code reuse attacks in php: Automated pop chain generation
CN102932329B (zh) 一种对程序的行为进行拦截的方法、装置和客户端设备
EP3349137A1 (en) Client-side attack detection in web applications
CN105094797A (zh) 用于电子设备的应用分析系统
KR20200052957A (ko) 보안 제어 방법 및 컴퓨터 시스템
CN111191243B (zh) 一种漏洞检测方法、装置和存储介质
CN103679031A (zh) 一种文件病毒免疫的方法和装置
CN112100620B (zh) 代码安全检测方法、装置、设备和可读存储介质
CN110022311B (zh) 一种基于攻击图的云外包服务数据泄露安全测试用例自动化生成方法
CN113449298B (zh) 一种反弹shell进程的检测方法、装置、设备和介质
CN110162474B (zh) 一种基于抽象语法树的智能合约重入漏洞检测方法
CN114254304A (zh) 容器安全入侵检测方法、装置、计算机设备及存储介质
CN104811453A (zh) 主动防御方法及装置
CN112528296B (zh) 漏洞检测方法、装置和存储介质及电子设备
CN106250761B (zh) 一种识别web自动化工具的设备、装置及方法
US9330279B2 (en) System and method for blocking elements of application interface
CN114595462A (zh) 一种数据处理的方法和装置
KR102572013B1 (ko) 요청 처리 방법,장치,기기, 컴퓨터 저장매체 및 컴퓨터 프로그램
KR101674895B1 (ko) 자바 메소드 콜 그래프 기반의 자바 보안 취약점 분석 시스템
CN111752570A (zh) 一种编译方法、装置、终端及计算机可读存储介质
CN116074130A (zh) 系统防护方法、装置、设备和介质
EP2881882B1 (en) System and method for blocking elements of application interface
CN115357762A (zh) 一种数据校验方法、装置、存储介质及电子设备
KR102096164B1 (ko) 액티비티 삽입 검출을 위한 정적 분석 방법 및 장치
CN111552474B (zh) 执行分布式锁操作的处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant