CN114968807A - 代码检测方法、装置、电子设备及可读存储介质 - Google Patents
代码检测方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN114968807A CN114968807A CN202210679208.5A CN202210679208A CN114968807A CN 114968807 A CN114968807 A CN 114968807A CN 202210679208 A CN202210679208 A CN 202210679208A CN 114968807 A CN114968807 A CN 114968807A
- Authority
- CN
- China
- Prior art keywords
- code
- detected
- data
- information
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3604—Software analysis for verifying properties of programs
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本申请公开了一种代码检测方法、装置、电子设备及可读存储介质,其方法包括:对待检测代码进行数据预处理,得到所述待检测代码的数据信息,所述数据信息包括:抽象语法树、符号表、控制流图以及函数依赖关系;对所述控制流图进行数据流分析,得到所述待检测代码的语义信息;按照预设的安全规则,对所述数据信息和/或所述语义信息进行匹配检测,确定所述待检测代码的检测结果。本申请通过对代码语义信息的提取,同时通过安全规则的设置,实现了代码检测的个性化定制,满足了不同类型、不同业务逻辑的代码检测的需求;且安全规则易于管理、维护和升级,适用场景广泛,提高了代码检测效率。
Description
技术领域
本申请涉及代码测试技术领域,具体涉及一种代码检测方法、装置、电子设备及可读存储介质。
背景技术
代码质量检测是软件开发中非常重要的环节,其主要为了发现代码中的漏洞,以进行补救。目前业内的代码检测工具是很多的,如Coverity工具、PC-Lint工具、FortifySCA工具等等。
现有的代码检测工具对于通用的、规范的需求有较好的支持,但是对特定场景,定制化需求上有所欠缺,且不易于维护和升级。
发明内容
本申请实施例针对上述情况,提出一种代码检测方法、装置、电子设备及可读存储介质,本申请支持对安全规则进行个性化配置,满足定制化代码检测的需求,且代码检测工具易于维护和升级。
第一方面,本申请实施例提供了一种代码检测方法,包括:
对待检测代码进行数据预处理,得到所述待检测代码的数据信息,所述数据信息包括:抽象语法树、符号表、控制流图以及函数依赖关系;
对所述控制流图进行数据流分析,得到所述待检测代码的语义信息;
按照预设的安全规则,对所述数据信息和/或语义信息进行匹配检测,确定所述待检测代码的检测结果。
第二方面,本申请实施例还提供了一种代码检测装置,所述装置包括:
预处理单元,用于对待检测代码进行数据预处理,得到所述待检测代码的数据信息,所述数据信息包括:抽象语法树、符号表、控制流图以及函数依赖关系;
数据流分析单元,用于对所述数据信息进行数据流分析,得到所述待检测代码的语义信息;
检测单元,用于按照预设的安全规则,对所述数据信息和/或语义信息进行匹配检测,确定所述待检测代码的检测结果。
第三方面,本申请实施例还提供了一种电子设备,包括:处理器;以及被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行上述任一的方法。
第四方面,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行上述任一的方法。
本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
本申请通过对待检测代码进行数据预处理,得到检测代码所需要的数据信息,这些数据信息包括但不限于:抽象语法树、符号表、控制流图以及函数依赖关系等,通过对数据信息进行数据流分析,得到所述待检测代码的语义信息,最后通过将语义信息,按照事先制定的安全规则进行匹配检测,得到所述待检测代码的检测结果。本申请通过对代码语义信息的提取,同时通过安全规则的设置,实现了代码检测的个性化定制,满足了不同类型、不同业务逻辑的代码检测的需求;且安全规则易于管理、维护和升级,适用场景广泛,提高了代码检测效率。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1示出根据本申请的一个实施例的代码检测方法的流程示意图;
图2示出了根据本申请的一个实施例的对路径列表中各条路径中各节点进行安全规则比对的流程示意图;
图3示出根据本申请的另一个实施例的代码检测装置的结构示意图;
图4为本申请实施例中一种电子设备的结构示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
以下结合附图,详细说明本申请各实施例提供的技术方案。
现有技术中,存在很多代码检测工具,例如Coverity(一种代码检测工具,业内暂无统一中文名),它是一个完整的软件检测平台的核心组件,能够可以准确、快速分析大规模高复杂度代码的工具;又如PC-Lint,它是一个功能强大的静态分析工具,它能够实现跨越多个模块的代码检测;还有Fortify SCA,它是一套软件安全分析器,可以在多语言的情况下,搜索安全编码规则,进行代码检测。但是上述的这些工具都是标准化、通用化的代码检测需求有较好的支持,而对于个性化的需求很难满足。
本申请的构思在于,支持用户对安全规则进行个性化定制,安全规则定义好之后,安全分析器就可以利用安全规则作为依据,利用安全规则与源程序的匹配程度,检测出代码中的漏洞。在进行代码检测时,由输入的外界安全规则针对变量实施相应状态绑定,在源程序分析过程里变量状态会根据安全规则进行相应转移,在分析过程中异常提示信息会在变量状态转移成为不正常的时候出现,从而实现了通过预设安全规则,支持代码定制化检测的目的,满足了不同类型、不同业务逻辑的代码检测的需求。
图1示出根据本申请的一个实施例的代码检测方法的流程示意图,从图1所示的方法可以看出,本申请至少包括步骤S110~步骤S130:
步骤S110:对待检测代码进行数据预处理,得到所述待检测代码的数据信息,所述数据信息包括:抽象语法树、符号表、控制流图以及函数依赖关系。
首先对源程序,即待检测代码进行预处理,得到后续检测所需要依据的多种数据信息,这些数据信息包括但不限于抽象语法树、符号表、控制流图以及函数依赖关系等等。
抽象语法树(AST)是对源程序抽象语法结构一种树表示方法,在抽象语法树中,每一个节点就能代表源代码的一种结构,抽象语法树不是展现例如真正语法的具体内容,嵌套的括号在树结构中,而不是以节点的形式。抽象语法树不依赖于语法的源语言,语法树的树形结构比源代码的线性结构具有更强的可操作性,并且易于分析以及使用。由于在编写语法时,往往对语法进行等价转换,如排除左递归、回溯、意义等操作,它对语法分析带来部分额外的成分。
符号表是一种用于语言翻译器(例如编译器和解释器)中的数据结构。在符号表中,程序源代码中的每个标识符都和它的声明或使用信息绑定在一起,比如其数据类型、作用域以及内存地址。符号表在编译程序工作的过程中需要不断收集、记录和使用源程序中一些语法符号的类型和特征等相关信息。这些信息一般以表格形式存储于系统中,如常数表、变量名表、数组名表、过程名表、标号表等等,统称为符号表。
控制流图(Control Flow Graph,CFG)也叫控制流程图,是一个过程或程序的抽象表现,是用在编译器中的一个抽象数据结构,由编译器在内部维护,代表了一个程序执行过程中会遍历到的所有路径。它用图的形式表示一个过程内所有基本块执行的可能流向,也能反映一个过程的实时执行过程。在本申请中,控制流图的生成主要是为了给后续步骤对代码进行匹配检测时,提供路径以及相关的数据。
函数依赖关系可以理解为待测试代码中不同函数之间的调用关系,函数依赖关系中包含了变量或状态的转移信息。其可以通过分析待测试代码中不同函数之间的调用关系获得。
上述的控制流图可以主要根据抽象语法树和符号表形成,抽象语法树把待检测代码表示成树的形式,树中的每一个节点可以理解为一个功能单元,而控制流图可以理解为表征各功能单元之间的关系。
步骤S120:对所述控制流图进行数据流分析,得到所述待检测代码的语义信息。
数据流分析是一项编译时使用的技术,它能从程序代码中收集程序的语义信息,并通过代数的方法在编译时确定变量的定义和使用。
数据流分析包括过程内的和过程间的数据流分析,常见的过程内数据流问题包括:到达定值、活跃使用、可用表达式和频繁使用、可用表达式和频繁使用等;过程间数据流问题包括:形式边界集合、可能别名和可能被修改等。
数据流分析是以控制流图为基础的,控制流图在每个节点都拥有一个传递函数,传递函数就是对源代码语句语义另一种表示形式。对于一个传递函数,输入值是数据流在节点上的值,而输出值是数据流节点经过变化的值。数据流的值其实是一个集合,它存储了源代码程序对象以及相应的状态,如包含但不限于指针别名信息和变量或对象状态信息等。
步骤S130:按照预设的安全规则,对所述数据信息和/或所述语义信息进行匹配检测,确定所述待检测代码的检测结果。
最后按照预设的安全规则,对待检测代码进行检测,得到检测结果。安全规则是事先制定好的,其支持个性化的定制配置,一个用户可以根据待检测代码的框架架构、代码风格以及业务逻辑等进行定制部署,对此,本申请不作限定。
安全规则定义好之后,可以将其形成一套安全分析器,以所述数据信息和/或所述语义信息为基础,运行形成的安全分析器,就可以以安全规则作为依据,利用安全规则与源程序的匹配程度,检测出待检测代码中的漏洞。安全分析器的作用就是在安全分析器运行安全检测时,由输入的预设的安全规则针对变量实施相应状态绑定,在源程序分析过程里变量状态会根据安全规则进行相应转移,在分析过程中如果变量状态转移成为不正常的时候,就会出现提示信息,以提醒检测人员,安全漏洞的存在。
本申请对待检测代码的检测对象可以是数据信息、也可以是语义信息,也可以对二者均进行检测,可以对数据信息的函数依赖关系进行检测,也可以通过语义信息对待检测代码的变量或对象的转移的合法性进行检测等等,对此本申请不作限定。
由图1所示的方法可以看出,本申请通过对待检测代码进行数据预处理,得到检测代码所需要的数据信息,这些数据信息包括但不限于:抽象语法树、符号表、控制流图以及函数依赖关系等,通过对数据信息进行数据流分析,得到所述待检测代码的语义信息,最后通过将语义信息,按照事先制定的安全规则进行匹配检测,得到所述待检测代码的检测结果。本申请通过对代码语义信息的提取,同时通过安全规则的设置,实现了代码检测的个性化定制,满足了不同类型、不同业务逻辑的代码检测的需求;且安全规则易于管理、维护和升级,适用场景广泛,提高了代码检测效率。
在本申请的一些实施例中,在上述方法中,所述对待检测代码进行数据预处理,得到所述待检测代码的数据信息,包括:生成待检测代码的抽象语法树和符号表;遍历所述抽象语法树和所述符号表,生成所述待检测代码的控制流图;对所述抽象语法树进行依赖关系解析,确定所述待检测代码的函数依赖关系。
在对待检测代码进行预处理的时候,可以先将其表示为抽象语法树的形式,如采用语法分析器将其表示为抽象语法树的形式。语法分析器(parser)通常是作为编译器或解释器的组件出现的,它的作用是进行语法检查、并构建由输入的单词组成的数据结构,如抽象语法树等层次化的数据结构。
对待测试代码进行符号表的提取,其可以在待测试程序的编译过程中不断提取形成。
然后,遍历所述抽象语法树和所述符号表,生成所述待检测代码的控制流图;具体的,可调用分析生成工具,遍历所述抽象语法树和所述符号表,生成所述待检测代码的控制流图,其中,所述控制流图包括由顶点节点和边节点组成的CFG类,所述顶点节点包括CFGNode类,以表示所述待检测代码的语句结点。
在生成控制流图时,可遍历前述提取出的抽象语法树AST以及符号表,设计生成控制流图,具体的,如可以基于分析器生成工具ANTLR(一种开源语法分析器)遍历AST以及符号表,形成控制流图。且在本申请的一些实施例中,生成控制流图的过程中,可以对一定条件下的不可达语句进行漏洞检查并报错。本申请中的控制流图包括CFG类,CFG类是控制流图对外的接口,它由顶点结点(VexNode)和边结点(ArcBox)组成,其中,顶点结点中data域记录有关语句结点的相关数据,用CFGNode类来表示。
在本申请的一些实施例中,在上述方法中,所述对所述数据信息进行数据流分析,得到所述待检测代码的语义信息,包括:调用数据流分析器,遍历所述抽象语法树,得到所述控制流图多个节点的传递函数以及对应的输入数据值;通过对所述待检测代码进行语义分析,将所述控制流图中各传递函数的输入数据值更新为输出数据值;循环执行所述调用数据流分析器,遍历所述抽象语法树,得到所述控制流图多个节点的传递函数以及对应的输入数据值,以及所述通过对所述待检测代码进行语义分析,将各传递函数的输入数据值更新为输出数据值的步骤数次;更新后的控制流图包括所述待检测代码的语义信息,所述语义信息至少包括指针别名信息和变量或对象状态信息。
在本申请的一些实施例中,数据流分析是基于控制流图CFG,它在每个节点都拥有一个传递函数,传递函数就是对源代码语句语义另一种表示形式,传递函数的输入值的是数据流在节点上的值,而输出值是数据流节点经过变化的值。数据流的值其实是一个集合,它存储了源代码程序对象以及相应的状态。数据流分析的可通过使用数据流分析器,如迭代器,来遍历抽象语法树AST进行相关数据的采集工作,可以根据得到的相应信息,通过分析待测试代码语义,把控制流图CFG的每个节点输入数据流值更新为输出数据流值。对于待检测代码不同数据流信息、数据流值表示形式和传递函数问题是不相同的,所以,一次遍历AST仅仅可以解决一类数据流问题,因此需要循环多次执行所述调用数据流分析器,遍历所述抽象语法树,得到所述控制流图多个节点的传递函数以及对应的输入数据值,以及所述通过对所述待检测代码进行语义分析,将各传递函数的输入数据值更新为输出数据值的步骤,以解决各种数据流问题。更新后的控制流图包括所述待检测代码的语义信息,所述语义信息至少包括但不限于指针别名信息和变量或对象状态信息等等。
需要说明的是,在本申请中,对于待测试代码进行预处理的过程中,可能需要一些处理分析工具,如分析生成工具、语法分析器等等,均可调用现有技术中相应的工具,只要能够完成相应任务即可,对此本申请不作限定。
在本申请的一些实施例中,按照预设的安全规则,对所述数据信息和/或所述语义信息进行匹配检测,确定所述待检测代码的检测结果,包括:遍历路径列表中的各路径中的各节点,其中所述路径列表是根据所述控制流图形成的;按照预设的安全规则,对各节点的数据信息和/或语义信息进行匹配检测,得到各节点的检测结果;汇总所述各节点的检测结果,得到所述待检测代码的检测结果。
对待测试代码的安全漏洞检测是通过遍历路径列表上各条路径中的各个节点与源程序相关信息,利用安全规则中对应的安全子规则进行匹配来进行的。实际操作时,可设置安全分析器或者安全分析引擎,也可以称为状态机分析器,将路径列表、预设的安全规则、数据信息和/或语义信息,如指针别名信息、变量或者对象状态信息等,作为状态机分析器的输入,输入至状态机分析器,其中安全规则可以以文件的形式存储于程序数据结构中;然后,对于路径列表中每一条路径的每个节点,按照对应的安全子规则,将数据信息和/语义信息与预设的安全规则进行比对匹配,若出现不满足安全规则的检测项时,则会发出提示信息,如变量或者状态不合法转移等。
在对一个节点进行检测时,可调用状态机安全分析器,对所述预设的安全规则进行解析,得到当前节点对应的安全子规则;读取所述当前节点的数据信息和/或语义信息;根据所述安全子规则,对所述数据信息和/或语义信息进行匹配检测;若所述数据信息和/或语义信息满足所述安全子规则,则确定所述当前节点的检测结果为正常,否则,则确定所述当前节点的检测结果为异常。
在对路径列表中每一条路径中每一个节点进行安全规则比对时,可参考图2的示意图,图2示出了根据本申请的一个实施例的对路径列表中各条路径中各节点进行安全规则比对的流程示意图,从图2可以看出,在比对时,从所述路径列表读取当前路径,并读取当前路径的当前节点;按照预设的安全规则,对所述当前节点的语义信息进行匹配检测,得到所述当前节点的检测结果,在获取到当前节点的检测结果后,判断所述当前路径中是或否存在下一节点,若存在,则对所述下一节点(下一节点被更新为当前节点)进行匹配检测;若不存在,则根据所述路径列表判断是否存在一下路径,若存在,则对所述一下路径(下一路径被更新为当前路径)中的各节点进行匹配检测,以获得所有路径中各节点的检测结果;若不存在,对比匹配检测结束。
图3示出根据本申请的另一个实施例的代码检测装置的结构示意图,从图3可以看出,所述代码检测装置300包括:
预处理单元310,用于对待检测代码进行数据预处理,得到所述待检测代码的数据信息,所述数据信息包括:抽象语法树、符号表、控制流图以及函数依赖关系;
数据流分析单元320,用于对所述数据信息进行数据流分析,得到所述待检测代码的语义信息;
检测单元330,用于按照预设的安全规则,对所述数据信息和/或语义信息进行匹配检测,确定所述待检测代码的检测结果。
在本申请的一些实施例中,在上述装置中,预处理单元310,用于生成待检测代码的抽象语法树和符号表;遍历所述抽象语法树和所述符号表,生成所述待检测代码的控制流图;对所述抽象语法树进行依赖关系解析,确定所述待检测代码的函数依赖关系。
在本申请的一些实施例中,在上述装置中,预处理单元310,用于调用分析生成工具,遍历所述抽象语法树和所述符号表,生成所述待检测代码的控制流图,其中,所述控制流图包括由顶点节点和边节点组成的CFG类,所述顶点节点包括CFGNode类,以表示所述待检测代码的语句结点。
在本申请的一些实施例中,在上述装置中,数据流分析单元320,用于调用数据流分析器,遍历所述抽象语法树,得到所述控制流图多个节点的传递函数以及对应的输入数据值;通过对所述待检测代码进行语义分析,将所述控制流图中各传递函数的输入数据值更新为输出数据值;循环执行所述调用数据流分析器,遍历所述抽象语法树,得到所述控制流图多个节点的传递函数以及对应的输入数据值,以及所述通过对所述待检测代码进行语义分析,将各传递函数的输入数据值更新为输出数据值的步骤数次;对更新后的控制流图进行语义提取,得到所述待检测代码的语义信息,所述语义信息至少包括指针别名信息和变量或对象状态信息。
在本申请的一些实施例中,在上述装置中,检测单元330,用于遍历路径列表中的各路径中的各节点,其中所述路径列表是根据所述控制流图形成的;
按照预设的安全规则,对各节点的数据信息和/或语义信息进行匹配检测,得到各节点的检测结果;汇总所述各节点的检测结果,得到所述待检测代码的检测结果。
在本申请的一些实施例中,在上述装置中,检测单元330,用于从所述路径列表读取当前路径的当前节点;按照预设的安全规则,对所述当前节点的数据信息和/或语义信息进行匹配检测,得到所述当前节点的检测结果;判断所述当前路径中是或否存在下一节点,若存在,则对所述下一节点进行匹配检测;若不存在,则根据所述路径列表判断是否存在一下路径,若存在,则对所述一下路径中的个节点进行匹配检测,以获得所有路径中各节点的检测结果。
在本申请的一些实施例中,在上述装置中,检测单元330,用于调用状态机安全分析器,对所述预设的安全规则进行解析,得到当前节点对应的安全子规则;读取所述当前节点的数据信息和/或语义信息;根据所述安全子规则,对所述数据信息和/或语义信息进行匹配检测;若所述数据信息和/或语义信息满足所述安全子规则,则确定所述当前节点的检测结果为正常,否则,则确定所述当前节点的检测结果为异常。
需要说明的是,上述的代码检测装置可一一实现前述的代码检测方法,这里不再赘述。
图4是本申请的一个实施例电子设备的结构示意图。请参考图4,在硬件层面,该电子设备包括处理器,可选地还包括内部总线、网络接口、存储器。其中,存储器可能包含内存,例如高速随机存取存储器(Random-Access Memory,RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
处理器、网络接口和存储器可以通过内部总线相互连接,该内部总线可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(PeripheralComponent Interconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图4中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
存储器,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器,并向处理器提供指令和数据。
处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成代码检测装置。处理器,执行存储器所存放的程序,并具体用于执行前述方法。
上述如本申请图3所示实施例揭示的代码检测装置执行的方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
该电子设备还可执行图3中代码检测装置执行的方法,并实现代码检测装置在图3所示实施例的功能,本申请实施例在此不再赘述。
本申请实施例还提出了一种计算机可读存储介质,该计算机可读存储介质存储一个或多个程序,该一个或多个程序包括指令,该指令当被包括多个应用程序的电子设备执行时,能够使该电子设备执行图3所示实施例中代码检测装置执行的方法,并具体用于执行前述方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的同一要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种代码检测方法,其特征在于,所述方法包括:
对待检测代码进行数据预处理,得到所述待检测代码的数据信息,所述数据信息包括:抽象语法树、符号表、控制流图以及函数依赖关系;
对所述控制流图进行数据流分析,得到所述待检测代码的语义信息;
按照预设的安全规则,对所述数据信息和/或所述语义信息进行匹配检测,确定所述待检测代码的检测结果。
2.根据权利要求1所述的方法,其特征在于,所述对待检测代码进行数据预处理,得到所述待检测代码的数据信息,包括:
生成待检测代码的抽象语法树和符号表;
遍历所述抽象语法树和所述符号表,生成所述待检测代码的控制流图;
对所述抽象语法树进行依赖关系解析,确定所述待检测代码的函数依赖关系。
3.根据权利要求2所述的方法,其特征在于,所述遍历所述抽象语法树和所述符号表,生成所述待检测代码的控制流图,包括:
调用分析生成工具,遍历所述抽象语法树和所述符号表,生成所述待检测代码的控制流图,其中,所述控制流图包括由顶点节点和边节点组成的CFG类,所述顶点节点包括CFGNode类,以表示所述待检测代码的语句结点。
4.根据权利要求1所述的方法,其特征在于,所述对所述数据信息进行数据流分析,得到所述待检测代码的语义信息,包括:
调用数据流分析器,遍历所述抽象语法树,得到所述控制流图多个节点的传递函数以及对应的输入数据值;
通过对所述待检测代码进行语义分析,将所述控制流图中各传递函数的输入数据值更新为输出数据值;
循环执行所述调用数据流分析器,遍历所述抽象语法树,得到所述控制流图多个节点的传递函数以及对应的输入数据值,以及所述通过对所述待检测代码进行语义分析,将各传递函数的输入数据值更新为输出数据值的步骤数次;
对更新后的控制流图进行语义提取,得到所述待检测代码的语义信息,所述语义信息至少包括指针别名信息和变量或对象状态信息。
5.根据权利要求1所述的方法,其特征在于,所述按照预设的安全规则,对所述数据信息和/或所述语义信息进行匹配检测,确定所述待检测代码的检测结果,包括:
遍历路径列表中的各路径中的各节点,其中所述路径列表是根据所述控制流图形成的;
按照预设的安全规则,对各节点的数据信息和/或语义信息进行匹配检测,得到各节点的检测结果;
汇总所述各节点的检测结果,得到所述待检测代码的检测结果。
6.根据权利要求5所述的方法,其特征在于,
从所述路径列表读取当前路径的当前节点;
按照预设的安全规则,对所述当前节点的数据信息和/或语义信息进行匹配检测,得到所述当前节点的检测结果;
判断所述当前路径中是或否存在下一节点,若存在,则对所述下一节点进行匹配检测;若不存在,则根据所述路径列表判断是否存在一下路径,若存在,则对所述一下路径中的个节点进行匹配检测,以获得所有路径中各节点的检测结果。
7.根据权利要求5所述的方法,其特征在于,所述按照预设的安全规则,对所述数据信息和/或语义信息进行匹配检测,确定所述待检测代码的检测结果,包括:
调用状态机安全分析器,对所述预设的安全规则进行解析,得到当前节点对应的安全子规则;
读取所述当前节点的数据信息和/或语义信息;
根据所述安全子规则,对所述数据信息和/或语义信息进行匹配检测;
若所述数据信息和/或语义信息满足所述安全子规则,则确定所述当前节点的检测结果为正常,否则,则确定所述当前节点的检测结果为异常。
8.一种代码检测装置,其特征在于,所述装置包括:
预处理单元,用于对待检测代码进行数据预处理,得到所述待检测代码的数据信息,所述数据信息包括:抽象语法树、符号表、控制流图以及函数依赖关系;
数据流分析单元,用于对所述数据信息进行数据流分析,得到所述待检测代码的语义信息;
检测单元,用于按照预设的安全规则,对所述数据信息和/或语义信息进行匹配检测,确定所述待检测代码的检测结果。
9.一种电子设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行所述权利要求1~7所述方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行所述权利要求1~7所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210679208.5A CN114968807A (zh) | 2022-06-16 | 2022-06-16 | 代码检测方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210679208.5A CN114968807A (zh) | 2022-06-16 | 2022-06-16 | 代码检测方法、装置、电子设备及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114968807A true CN114968807A (zh) | 2022-08-30 |
Family
ID=82964572
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210679208.5A Pending CN114968807A (zh) | 2022-06-16 | 2022-06-16 | 代码检测方法、装置、电子设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114968807A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115408595A (zh) * | 2022-11-03 | 2022-11-29 | 博和利统计大数据(天津)集团有限公司 | 数据抓取引擎开发方法、执行方法、设备及存储介质 |
| CN115617352A (zh) * | 2022-12-02 | 2023-01-17 | 中汽研软件测评(天津)有限公司 | 基于安全编码标准的c代码检测方法、设备和存储介质 |
| CN115906086A (zh) * | 2023-02-23 | 2023-04-04 | 中国人民解放军国防科技大学 | 基于代码属性图的网页后门检测方法、系统及存储介质 |
| CN117614877A (zh) * | 2023-11-27 | 2024-02-27 | 中国电子科技集团公司第十五研究所 | 一种网络安全检测系统 |
-
2022
- 2022-06-16 CN CN202210679208.5A patent/CN114968807A/zh active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115408595A (zh) * | 2022-11-03 | 2022-11-29 | 博和利统计大数据(天津)集团有限公司 | 数据抓取引擎开发方法、执行方法、设备及存储介质 |
| CN115408595B (zh) * | 2022-11-03 | 2023-03-24 | 博和利统计大数据(天津)集团有限公司 | 数据抓取引擎开发方法、执行方法、设备及存储介质 |
| CN115617352A (zh) * | 2022-12-02 | 2023-01-17 | 中汽研软件测评(天津)有限公司 | 基于安全编码标准的c代码检测方法、设备和存储介质 |
| CN115617352B (zh) * | 2022-12-02 | 2023-03-28 | 中汽研软件测评(天津)有限公司 | 基于安全编码标准的c代码检测方法、设备和存储介质 |
| CN115906086A (zh) * | 2023-02-23 | 2023-04-04 | 中国人民解放军国防科技大学 | 基于代码属性图的网页后门检测方法、系统及存储介质 |
| CN117614877A (zh) * | 2023-11-27 | 2024-02-27 | 中国电子科技集团公司第十五研究所 | 一种网络安全检测系统 |
| CN117614877B (zh) * | 2023-11-27 | 2024-06-18 | 中国电子科技集团公司第十五研究所 | 一种网络安全检测系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11036614B1 (en) | Data control-oriented smart contract static analysis method and system | |
| CN114968807A (zh) | 代码检测方法、装置、电子设备及可读存储介质 | |
| CN110502227B (zh) | 代码补全的方法及装置、存储介质、电子设备 | |
| JP2020522790A (ja) | 異種にプログラムされたデータ処理システムの自動依存性アナライザ | |
| CN111104335B (zh) | 一种基于多层次分析的c语言缺陷检测方法及装置 | |
| AU2010350247A1 (en) | Code inspection executing system for performing a code inspection of ABAP source codes | |
| US9645800B2 (en) | System and method for facilitating static analysis of software applications | |
| CN111124870A (zh) | 一种接口测试方法及装置 | |
| US20110145799A1 (en) | Path-sensitive dataflow analysis including path refinement | |
| CN107015904B (zh) | 堆栈的保护方法及装置 | |
| CN113901083B (zh) | 基于多解析器的异构数据源操作资源解析定位方法和设备 | |
| CN111767076A (zh) | 代码重构方法及装置 | |
| Stanier et al. | A study of irreducibility in C programs | |
| CN111240987B (zh) | 移植程序检测方法、装置、电子设备及计算机可读存储介质 | |
| CN111427578B (zh) | 一种数据转换方法、装置及设备 | |
| CN114840427A (zh) | 一种代码测试、测试用例生成的方法及装置 | |
| CN114490413A (zh) | 测试数据的准备方法及装置、存储介质和电子设备 | |
| CN111399842B (zh) | 一种代码编译方法及装置 | |
| CN113626823A (zh) | 一种基于可达性分析的组件间交互威胁检测方法及装置 | |
| CN109582300A (zh) | 基于路径的代码变更分析方法、装置及设备 | |
| CN115525534A (zh) | 基于swagger的接口测试的测试用例生成方法、生成平台 | |
| CN111309301B (zh) | 程序语言转换方法、装置和转换设备 | |
| CN116578282A (zh) | 代码生成方法、装置、电子设备及介质 | |
| CN110244954A (zh) | 一种应用程序的编译方法及设备 | |
| CN115809193A (zh) | 前端逆向异常数据健壮性检测方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |