CN115828241A - 一种静态代码分析方法、装置、电子设备及存储介质 - Google Patents
一种静态代码分析方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN115828241A CN115828241A CN202211538270.9A CN202211538270A CN115828241A CN 115828241 A CN115828241 A CN 115828241A CN 202211538270 A CN202211538270 A CN 202211538270A CN 115828241 A CN115828241 A CN 115828241A
- Authority
- CN
- China
- Prior art keywords
- weight
- vulnerability
- analysis
- static
- parameter input
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Stored Programmes (AREA)
Abstract
本申请实施例提供一种静态代码分析方法、装置、电子设备及存储介质,其中,该方法包括:获取源码文件和正则表达式;对所述源码文件进行解析,得到抽象语法树、三地址码;根据抽象语法树静态分析方法对所述抽象语法树进行静态分析,得到第一漏洞;根据三地址码静态分析方法对所述三地址码进行静态分析,得到第二漏洞;根据所述正则表达式和正则表达式静态分析方法对所述源码文件进行静态分析,得到第三漏洞;分别对所述第一漏洞、第二漏洞和第三漏洞进行AHP权重分析,得到第一权重、第二权重和第三权重;根据所述第一权重、所述第二权重和所述第三权重生成静态代码分析结果。实施本申请实施例,可以降低误报率,提高静态代码分析报告的质量。
Description
技术领域
本申请涉及数据分析技术领域,具体而言,涉及一种静态代码分析方法、装置、电子设备及计算机存储介质。
背景技术
静态代码分析也称静态分析,是一种软件验证活动,不要求执行代码,而是通过分析源代码实现质量、可靠性和安全性目的。使用静态分析,可以识别可能危害到应用安全的缺陷和安全漏洞。静态分析不产生测试用例编写和代码检测配置的开销,因此可以较为经济地衡量和跟踪软件质量指标。
但是,现有技术的静态代码分析通常基于AST抽象语法树进行代码审计,缺点在于AST的语言强依赖性,这使得AST依赖于对应语言的种类,同时缺乏控制流信息。其他的方法,如基于正则表达式、IR的代码审计,误报率较高,判断过程中没有任何控制流信息和数据流信息的生成,因此,也存在较高的误报率。
发明内容
本申请实施例的目的在于提供一种静态代码分析方法、装置、电子设备及存储介质,可以降低误报率,使得分析结果更加精准,减少抽象语法树的对代码语言的依赖性,提高安全性能,提高静态代码分析报告的质量。
获取源码文件和正则表达式;
对所述源码文件进行解析,得到抽象语法树、三地址码;
根据抽象语法树静态分析方法对所述抽象语法树进行静态分析,得到第一漏洞;
根据三地址码静态分析方法对所述三地址码进行静态分析,得到第二漏洞;
根据所述正则表达式和正则表达式静态分析方法对所述源码文件进行静态分析,得到第三漏洞;
分别对所述第一漏洞、第二漏洞和第三漏洞进行AHP权重分析,得到第一权重、第二权重和第三权重;
根据所述第一权重、所述第二权重和所述第三权重生成静态代码分析结果。
在上述实现过程中,分别对抽象语法树、三地址码和正则表达式静态分析后得到其对应的漏洞,再根据漏洞进行权重分析,生成静态代码分析报告,可以降低误报率,使得分析结果更加精准,减少抽象语法树的对代码语言的依赖性,提高安全性能,提高静态代码分析报告的质量。
进一步地,所述分别对所述第一漏洞、第二漏洞和第三漏洞进行AHP权重分析,得到第一权重、第二权重和第三权重的步骤,包括:
获取权重参考指标,所述权重参考指标包括参数输入点、漏洞触发点和可达性;
根据所述权重参考指标分别对所述第一漏洞、所述第二漏洞和所述第三漏洞进行AHP权重分析,得到所述第一权重、所述第二权重和所述第三权重。
在上述实现过程中,对第一漏洞、第二漏洞和第三漏洞进行AHP权重分析,得到第一权重、第二权重和第三权重,可以减少得到权重过程中的误差,使得到的权重更加准确。
进一步地,所述根据所述权重参考指标分别对所述第一漏洞、所述第二漏洞和所述第三漏洞进行AHP权重分析,得到所述第一权重、所述第二权重和所述第三权重的步骤,包括:
分别对所述第一漏洞、所述第二漏洞和所述第三漏洞进行初始权重赋值,得到第一初始权重、第二初始权重和第三初始权重;
根据所述权重参考指标分别对所述第一初始权重、所述第二初始权重和所述第三初始权重进行AHP权重分析,得到所述第一权重,所述第二权重和所述第三权重,其中,所述第一权重包括第一参数输入点权重、第一漏洞触发点权重和第一可达性权重,所述第二权重包括第二参数输入点权重、第二漏洞触发点权重和第二可达性权重,所述第三权重包括第三参数输入点权重、第三漏洞触发点权重和第三可达性权重。
在上述实现过程中,根据权重参考指标进行AHP权重分析,可以细化权重的分类,并且提高权重的精确度,进一步提高静态代码分析结果的准确度。
进一步地,所述根据所述第一权重、所述第二权重和所述第三权重生成静态代码分析结果的步骤,包括:
分别选取所述第一权重、所述第二权重和所述第三权重中的所述第一参数输入点权重、所述第二参数输入点权重和所述第三参数输入点权重中数值最高的作为参数输入点权重;
分别选取所述第一权重、所述第二权重和所述第三权重中的所述第一漏洞触发点权重、所述第二漏洞触发点权重和所述第三漏洞触发点权重中数值最高的作为漏洞触发点权重;
分别选取所述第一权重、所述第二权重和所述第三权重中的所述第一可达性权重、所述第二可达性权重和所述第三可达性权重中数值最高的作为可达性权重;
根据所述参数输入点权重、所述漏洞触发点权重和所述可达性权重生成所述静态代码分析结果。
在上述实现过程中,选取第一权重、第二权重和第三权重中数值最高的作为参数输入点权重、漏洞触发点权重和可达性权重,可以缩短分析时间,减少分析过程中产生的数据冗余。
进一步地,在所述根据所述第一权重、所述第二权重和所述第三权重生成静态代码分析结果的步骤之后,还包括:
根据所述抽象语法树获得节点信息;
根据所述三地址码获得控制流信息;
将所述控制流信息和所述节点信息存入数据库生成权重修改接口;
根据所述权重修改接口对所述参数输入点权重、所述漏洞触发点权重和所述可达性权重进行修改,得到误报率。
在上述实现过程中,根据节点信息和控制流信息生成的接口对参数输入点权重、漏洞触发点权重和可达性权重进行修改,可以提高静态代码分析过程中对代码的控制程度,降低误报率。
进一步地,所述获取源码文件的步骤,包括:
判断所述源码文件是否为Java文件;
若否,生成警告信息。
在上述实现过程中,对源码文件进行判断,可以缩短静态代码分析的时间,减少源码文件对空间的占用,有效避免分析过程中的出错率。
第二方面,本申请实施例还提供了一种静态代码分析装置,所述装置包括:
获取模块,用于获取源码文件和正则表达式;
解析模块,用于对所述源码文件进行解析,得到抽象语法树、三地址码;
静态分析模块,用于根据抽象语法树静态分析方法对所述抽象语法树进行静态分析,得到第一漏洞;还用于根据三地址码静态分析方法对所述三地址码进行静态分析,得到第二漏洞;还用于根据所述正则表达式和正则表达式静态分析方法对所述源码文件进行静态分析,得到第三漏洞;
权重分析模块,用于分别对所述第一漏洞、第二漏洞和第三漏洞进行AHP权重分析,得到第一权重、第二权重和第三权重;
生成模块,用于根据所述第一权重、所述第二权重和所述第三权重生成静态代码分析结果。
在上述实现过程中,分别对抽象语法树、三地址码和正则表达式静态分析后得到其对应的漏洞,再根据漏洞进行权重分析,生成静态代码分析报告,可以降低误报率,使得分析结果更加精准,减少抽象语法树的对代码语言的依赖性,提高安全性能,提高静态代码分析报告的质量。
进一步地,所述权重分析模块还用于:
获取权重参考指标,所述权重参考指标包括参数输入点、漏洞触发点和可达性;
根据所述权重参考指标分别对所述第一漏洞、所述第二漏洞和所述第三漏洞进行AHP权重分析,得到所述第一权重、所述第二权重和所述第三权重。
在上述实现过程中,对第一漏洞、第二漏洞和第三漏洞进行AHP权重分析,得到第一权重、第二权重和第三权重,可以减少得到权重过程中的误差,使得到的权重更加准确。
第三方面,本申请实施例提供的一种电子设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如第一方面任一项所述的方法的步骤。
第四方面,本申请实施例提供的一种计算机可读存储介质,所述存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行如第一方面任一项所述的方法。
第五方面,本申请实施例提供的一种计算机程序产品,所述计算机程序产品在计算机上运行时,使得计算机执行如第一方面任一项所述的方法。
本公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本公开的上述技术即可得知。
并可依照说明书的内容予以实施,以下以本申请的较佳实施例并配合附图详细说明如后。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围值的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的静态代码分析方法的流程示意图;
图2为本申请实施例提供的静态代码分析装置的结构组成示意图;
图3为本申请实施例提供的电子设备的结构组成示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
下面结合附图和实施例,对本申请的具体实施方式作进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围值。
实施例一
图1是本申请实施例提供的静态代码分析方法的流程示意图,如图1所示,该方法包括:
S1,获取源码文件和正则表达式;
S2,对源码文件进行解析,得到抽象语法树、三地址码;
S3,根据抽象语法树静态分析方法对抽象语法树进行静态分析,得到第一漏洞;
S4,根据三地址码静态分析方法对三地址码进行静态分析,得到第二漏洞;
S5,根据正则表达式和正则表达式静态分析方法对源码文件进行静态分析,得到第三漏洞;
S6,分别对第一漏洞、第二漏洞和第三漏洞进行AHP权重分析,得到第一权重、第二权重和第三权重;
S7,根据第一权重、第二权重和第三权重生成静态代码分析结果。
在上述实现过程中,分别对抽象语法树、三地址码和正则表达式静态分析后得到其对应的漏洞,再根据漏洞进行权重分析,生成静态代码分析报告,可以降低误报率,使得分析结果更加精准,减少抽象语法树的对代码语言的依赖性,提高安全性能,提高静态代码分析报告的质量。
进一步地,S1包括:
判断源码文件是否为Java文件;
若否,生成警告信息。
在上述实现过程中,对源码文件进行判断,可以缩短静态代码分析的时间,减少源码文件对空间的占用,有效避免分析过程中的出错率。
首先是针对要进行编译和扫描的源码文件进行判断,因为该系统是针对Java语言进行的高度定制化系统,所以要先判断输入的源码文件是否是Java文件,可以直接以源码文件的后缀是否是.java结尾为判断依据,如果输入的源码文件是Java文件则执行下一步,如果判断为非Java文件,则抛出相关警告。
在S2中,解析完成后,得到抽象语法树、三地址码,本申请实施例中的三地址码为Jimple三地址码,以三种不同的方式展开静态分析,并将最终分析的结果进行汇总。
三地址码(Three Address Code)经常被缩写为TAC或3AC,每个三地址码指令,都可以被分解为四个元组(4-tuple):(运算符,运算对象1,运算对象2,结果)。每个三地址码都包含了三个变量,因此被称为三地址码。
抽象语法树(Abstract Syntax Tree,AST)是源代码语法结构的一种抽象表示。以树状的形式表现编程语言的语法结构,树上的每个节点都表示源代码中的一种结构。
Jimple是一种中间代码,用来简化分析,以及简化向java字节码的过渡。Jimple是一种类型化的、三地址的、基于语句的中间代码。
正则表达式(Regular Expression,Regex)又称规则表达式,是一种文本模式,包括普通字符(例如,a到z之间的字母)和特殊字符(称为"元字符"),是计算机科学的一个概念。正则表达式使用单个字符串来描述、匹配一系列匹配某个句法规则的字符串,通常被用来检索、替换那些符合某个模式(规则)的文本。
进一步地,S6包括:
获取权重参考指标,权重参考指标包括参数输入点、漏洞触发点和可达性;
根据权重参考指标分别对第一漏洞、第二漏洞和第三漏洞进行AHP权重分析,得到第一权重、第二权重和第三权重。
在上述实现过程中,对第一漏洞、第二漏洞和第三漏洞进行AHP权重分析,得到第一权重、第二权重和第三权重,可以减少得到权重过程中的误差,使得到的权重更加准确。
进一步地,根据权重参考指标分别对第一漏洞、第二漏洞和第三漏洞进行AHP权重分析,得到第一权重、第二权重和第三权重的步骤,包括:
分别对第一漏洞、第二漏洞和第三漏洞进行初始权重赋值,得到第一初始权重、第二初始权重和第三初始权重;
根据权重参考指标分别对第一初始权重、第二初始权重和第三初始权重进行AHP权重分析,得到第一权重,第二权重和第三权重,其中,第一权重包括第一参数输入点权重、第一漏洞触发点权重和第一可达性权重,第二权重包括第二参数输入点权重、第二漏洞触发点权重和第二可达性权重,第三权重包括第三参数输入点权重、第三漏洞触发点权重和第三可达性权重。
在上述实现过程中,根据权重参考指标进行AHP权重分析,可以细化权重的分类,并且提高权重的精确度,进一步提高静态代码分析结果的准确度。
可选地,本申请实施例根据多层次分析(Analytic Hierarchy Process,AHP)权重分析法进行权重分析。
AHP权重分析法是指将与决策总是有关的元素分解成目标、准肌、方案等层次,在此基础之上进行定性和定量分析的决策方法,通过专家打分的方式来进行权重的确认。
本申请实施例需要对漏洞的准确度进行一个衡量,需要给出一个可靠的依据,采用AHP层次分析法得出权重,对于没有初始数据输入的系统非常匹配。
进一步地,S7包括:
分别选取第一权重、第二权重和第三权重中的第一参数输入点权重、第二参数输入点权重和第三参数输入点权重中数值最高的作为参数输入点权重;
分别选取第一权重、第二权重和第三权重中的第一漏洞触发点权重、第二漏洞触发点权重和第三漏洞触发点权重中数值最高的作为漏洞触发点权重;
分别选取第一权重、第二权重和第三权重中的第一可达性权重、第二可达性权重和第三可达性权重中数值最高的作为可达性权重;
根据参数输入点权重、漏洞触发点权重和可达性权重生成静态代码分析结果。
在上述实现过程中,选取第一权重、第二权重和第三权重中数值最高的作为参数输入点权重、漏洞触发点权重和可达性权重,可以缩短分析时间,减少分析过程中产生的数据冗余。
进一步地,在根据第一权重、第二权重和第三权重生成静态代码分析结果的步骤之后,还包括:
根据抽象语法树获得节点信息;
根据三地址码获得控制流信息;
将控制流信息和节点信息存入数据库生成权重修改接口;
根据权重修改接口对参数输入点权重、漏洞触发点权重和可达性权重进行修改,得到误报率。
在上述实现过程中,根据节点信息和控制流信息生成的接口对参数输入点权重、漏洞触发点权重和可达性权重进行修改,可以提高静态代码分析过程中对代码的控制程度,降低误报率。
将Jimple三地址码中的控制流信息和抽象语法树中的节点信息存入数据库中,生成权重修改接口,方便后续人工查询。
可选地,控制流信息可以是控制流图(Control Flow Graph,CFG),是一个过程或程序的抽象表现,是用在编译器中的一个抽象数据结构,由编译器在内部维护,代表了一个程序执行过程中会遍历到的所有路径。它用图的形式表示一个过程内所有基本块执行的可能流向,也能反映一个过程的实时执行过程。
本申请实施例在得到权重后,用户可根据分析得到的权重在数据库中通过查询语句对节点到节点之间的可达性的精确度进行判断,并根据查询结果进行修改,同时在提供权重的修改接口,使用者可以根据自己审计的结果来修改系统对不同静态分析方式得到的不同的结果的权重进行修改。
以本实施例为例,Neo4j是一个高性能的NOSQL图形数据库,它将结构化数据存储在网络中而不是表中。它是一个嵌入式的、基于磁盘的、具备完全的事务特性的Java持久化引擎,但是它将结构化数据存储在网络(从数学角度叫做图)上而不是表中。Neo4j也可以被看作是一个高性能的图引擎,该引擎具有成熟数据库的所有特性。
首先将用户或者开发者输入的java代码进行解析,并将解析生成的信息存入Neo4j数据库中,方便用户后续进行查询。
接下来通过一个权重系统对扫描出的漏洞,进行判断,这里以SQL注入漏洞为例,目前的权重参考指标有三个,参数输入点、漏洞触发点和可达性三个参考指标,
由于AHP权重分析法的核心在于,权重的来源是根据专家进行的打分,由于代码审计很难自动获取训练数据,所以初始权重,需要开发人员自己使用程序进行代码审计,得到准确结果后,再给出对应的权重,而这个权重则作为默认出厂配置。这种方式静态分析得到的结果精确度最高,可以达到降低漏洞误报率的作用。
因为误报只能减少不能消除,因此,本申请实施例提供人工审计专用接口,如通过Neo4j图数据库的关系来确认,参数输入点可漏洞触发点之间的可达性,并提供接口以供用户修改权重,用户可以根据查询的结果,来再一次对静态分析报告出的漏洞进行确认从而减少误报。
本申请实施例通过整合AST语法树分析技术,结合Regex静态代码分析技术,以及Jimple这一中间表示(Intermediate Representation,IR)子类的表现形式。结合了三种静态代码解析技术后还不足来降低误报率。提供了一种有效解决静态代码分析误报率高这一问题的方法。
实施例二
为了执行上述实施例一对应的方法,以实现相应的功能和技术效果,下面提供一种静态代码分析装置,如图3所示,该装置包括:
获取模块1,用于获取源码文件和正则表达式;
解析模块2,用于对源码文件进行解析,得到抽象语法树、三地址码;
静态分析模块3,用于根据抽象语法树静态分析方法对抽象语法树进行静态分析,得到第一漏洞;还用于根据三地址码静态分析方法对三地址码进行静态分析,得到第二漏洞;还用于根据正则表达式和正则表达式静态分析方法对源码文件进行静态分析,得到第三漏洞;
权重分析模块4,用于分别对第一漏洞、第二漏洞和第三漏洞进行AHP权重分析,得到第一权重、第二权重和第三权重;
生成模块5,用于根据第一权重、第二权重和第三权重生成静态代码分析结果。
在上述实现过程中,分别对抽象语法树、三地址码和正则表达式静态分析后得到其对应的漏洞,再根据漏洞进行权重分析,生成静态代码分析报告,可以降低误报率,使得分析结果更加精准,减少抽象语法树的对代码语言的依赖性,提高安全性能,提高静态代码分析报告的质量。
进一步地,获取模块1还用于:
判断源码文件是否为Java文件;
若否,生成警告信息。
在上述实现过程中,对源码文件进行判断,可以缩短静态代码分析的时间,减少源码文件对空间的占用,有效避免分析过程中的出错率。
进一步地,权重分析模块4还用于:
获取权重参考指标,权重参考指标包括参数输入点、漏洞触发点和可达性;
根据权重参考指标分别对第一漏洞、第二漏洞和第三漏洞进行AHP权重分析,得到第一权重、第二权重和第三权重。
在上述实现过程中,对第一漏洞、第二漏洞和第三漏洞进行AHP权重分析,得到第一权重、第二权重和第三权重,可以减少得到权重过程中的误差,使得到的权重更加准确。
进一步地,权重分析模块4还用于:
分别对第一漏洞、第二漏洞和第三漏洞进行初始权重赋值,得到第一初始权重、第二初始权重和第三初始权重;
根据权重参考指标分别对第一初始权重、第二初始权重和第三初始权重进行AHP权重分析,得到第一权重,第二权重和第三权重,其中,第一权重包括第一参数输入点权重、第一漏洞触发点权重和第一可达性权重,第二权重包括第二参数输入点权重、第二漏洞触发点权重和第二可达性权重,第三权重包括第三参数输入点权重、第三漏洞触发点权重和第三可达性权重。
在上述实现过程中,根据权重参考指标进行AHP权重分析,可以细化权重的分类,并且提高权重的精确度,进一步提高静态代码分析结果的准确度。
进一步地,生成模块5还用于:
分别选取第一权重、第二权重和第三权重中的第一参数输入点权重、第二参数输入点权重和第三参数输入点权重中数值最高的作为参数输入点权重;
分别选取第一权重、第二权重和第三权重中的第一漏洞触发点权重、第二漏洞触发点权重和第三漏洞触发点权重中数值最高的作为漏洞触发点权重;
分别选取第一权重、第二权重和第三权重中的第一可达性权重、第二可达性权重和第三可达性权重中数值最高的作为可达性权重;
根据参数输入点权重、漏洞触发点权重和可达性权重生成静态代码分析结果。
在上述实现过程中,选取第一权重、第二权重和第三权重中数值最高的作为参数输入点权重、漏洞触发点权重和可达性权重,可以缩短分析时间,减少分析过程中产生的数据冗余。
进一步地,该装置还包括修改模块,用于:
根据抽象语法树获得节点信息;
根据三地址码获得控制流信息;
将控制流信息和节点信息存入数据库生成权重修改接口;
根据权重修改接口对参数输入点权重、漏洞触发点权重和可达性权重进行修改,得到误报率。
在上述实现过程中,根据节点信息和控制流信息生成的接口对参数输入点权重、漏洞触发点权重和可达性权重进行修改,可以提高静态代码分析过程中对代码的控制程度,降低误报率。。
上述的静态代码分析装置可实施上述实施例一的方法。上述实施例一中的可选项也适用于本实施例,这里不再详述。
本申请实施例的其余内容可参照上述实施例一的内容,在本实施例中,不再进行赘述。
实施例三
本申请实施例提供一种电子设备,包括存储器及处理器,该存储器用于存储计算机程序,该处理器运行计算机程序以使电子设备执行实施例一的静态代码分析方法。
可选地,上述电子设备可以是服务器。
请参见图3,图3为本申请实施例提供的电子设备的结构组成示意图。该电子设备可以包括处理器31、通信接口32、存储器33和至少一个通信总线34。其中,通信总线34用于实现这些组件直接的连接通信。其中,本申请实施例中设备的通信接口32用于与其他节点设备进行信令或数据的通信。处理器31可以是一种集成电路芯片,具有信号的处理能力。
上述的处理器31可以是通用处理器,包括中央处理器(Central ProcessingUnit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器31也可以是任何常规的处理器等。
存储器33可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器33中存储有计算机可读取指令,当计算机可读取指令由所述处理器31执行时,设备可以执行上述图1方法实施例涉及的各个步骤。
可选地,电子设备还可以包括存储控制器、输入输出单元。存储器33、存储控制器、处理器31、外设接口、输入输出单元各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通信总线34实现电性连接。处理器31用于执行存储器33中存储的可执行模块,例如设备包括的软件功能模块或计算机程序。
输入输出单元用于提供给用户创建任务以及为该任务创建启动可选时段或预设执行时间以实现用户与服务器的交互。输入输出单元可以是,但不限于,鼠标和键盘等。
可以理解,图3所示的结构仅为示意,电子设备还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。
另外,本申请实施例还提供一种计算机可读存储介质,其存储有计算机程序,该计算机程序被处理器执行时实现实施例一的静态代码分析方法。
本申请实施例还提供一种计算机程序产品,该计算机程序产品在计算机上运行时,使得计算机执行方法实施例所述的方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的装置来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围值,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围值之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围值并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围值内,可轻易想到变化或替换,都应涵盖在本申请的保护范围值之内。因此,本申请的保护范围值应所述以权利要求的保护范围值为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种静态代码分析方法,其特征在于,所述方法包括:
获取源码文件和正则表达式;
对所述源码文件进行解析,得到抽象语法树、三地址码;
根据抽象语法树静态分析方法对所述抽象语法树进行静态分析,得到第一漏洞;
根据三地址码静态分析方法对所述三地址码进行静态分析,得到第二漏洞;
根据所述正则表达式和正则表达式静态分析方法对所述源码文件进行静态分析,得到第三漏洞;
分别对所述第一漏洞、第二漏洞和第三漏洞进行AHP权重分析,得到第一权重、第二权重和第三权重;
根据所述第一权重、所述第二权重和所述第三权重生成静态代码分析结果。
2.根据权利要求1所述的静态代码分析方法,其特征在于,所述分别对所述第一漏洞、第二漏洞和第三漏洞进行AHP权重分析,得到第一权重、第二权重和第三权重的步骤,包括:
获取权重参考指标,所述权重参考指标包括参数输入点、漏洞触发点和可达性;
根据所述权重参考指标分别对所述第一漏洞、所述第二漏洞和所述第三漏洞进行AHP权重分析,得到所述第一权重、所述第二权重和所述第三权重。
3.根据权利要求2所述的静态代码分析方法,其特征在于,所述根据所述权重参考指标分别对所述第一漏洞、所述第二漏洞和所述第三漏洞进行AHP权重分析,得到所述第一权重、所述第二权重和所述第三权重的步骤,包括:
分别对所述第一漏洞、所述第二漏洞和所述第三漏洞进行初始权重赋值,得到第一初始权重、第二初始权重和第三初始权重;
根据所述权重参考指标分别对所述第一初始权重、所述第二初始权重和所述第三初始权重进行AHP权重分析,得到所述第一权重,所述第二权重和所述第三权重,其中,所述第一权重包括第一参数输入点权重、第一漏洞触发点权重和第一可达性权重,所述第二权重包括第二参数输入点权重、第二漏洞触发点权重和第二可达性权重,所述第三权重包括第三参数输入点权重、第三漏洞触发点权重和第三可达性权重。
4.根据权利要求3所述的静态代码分析方法,其特征在于,所述根据所述第一权重、所述第二权重和所述第三权重生成静态代码分析结果的步骤,包括:
分别选取所述第一权重、所述第二权重和所述第三权重中的所述第一参数输入点权重、所述第二参数输入点权重和所述第三参数输入点权重中数值最高的作为参数输入点权重;
分别选取所述第一权重、所述第二权重和所述第三权重中的所述第一漏洞触发点权重、所述第二漏洞触发点权重和所述第三漏洞触发点权重中数值最高的作为漏洞触发点权重;
分别选取所述第一权重、所述第二权重和所述第三权重中的所述第一可达性权重、所述第二可达性权重和所述第三可达性权重中数值最高的作为可达性权重;
根据所述参数输入点权重、所述漏洞触发点权重和所述可达性权重生成所述静态代码分析结果。
5.根据权利要求4所述的静态代码分析方法,其特征在于,在所述根据所述第一权重、所述第二权重和所述第三权重生成静态代码分析结果的步骤之后,还包括:
根据所述抽象语法树获得节点信息;
根据所述三地址码获得控制流信息;
将所述控制流信息和所述节点信息存入数据库生成权重修改接口;
根据所述权重修改接口对所述参数输入点权重、所述漏洞触发点权重和所述可达性权重进行修改,得到误报率。
6.根据权利要求1所述的静态代码分析方法,其特征在于,所述获取源码文件的步骤,包括:
判断所述源码文件是否为Java文件;
若否,生成警告信息。
7.一种静态代码分析装置,其特征在于,所述装置包括:
获取模块,用于获取源码文件和正则表达式;
解析模块,用于对所述源码文件进行解析,得到抽象语法树、三地址码;
静态分析模块,用于根据抽象语法树静态分析方法对所述抽象语法树进行静态分析,得到第一漏洞;还用于根据三地址码静态分析方法对所述三地址码进行静态分析,得到第二漏洞;还用于根据所述正则表达式和正则表达式静态分析方法对所述源码文件进行静态分析,得到第三漏洞;
权重分析模块,用于分别对所述第一漏洞、第二漏洞和第三漏洞进行AHP权重分析,得到第一权重、第二权重和第三权重;
生成模块,用于根据所述第一权重、所述第二权重和所述第三权重生成静态代码分析结果。
8.根据权利要求7所述的静态代码分析装置,其特征在于,所述权重分析模块还用于:
获取权重参考指标,所述权重参考指标包括参数输入点、漏洞触发点和可达性;
根据所述权重参考指标分别对所述第一漏洞、所述第二漏洞和所述第三漏洞进行AHP权重分析,得到所述第一权重、所述第二权重和所述第三权重。
9.一种电子设备,其特征在于,包括存储器及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行根据权利要求1至6中任一项所述的静态代码分析方法。
10.一种计算机可读存储介质,其特征在于,其存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6中任一项所述的静态代码分析方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211538270.9A CN115828241A (zh) | 2022-12-01 | 2022-12-01 | 一种静态代码分析方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211538270.9A CN115828241A (zh) | 2022-12-01 | 2022-12-01 | 一种静态代码分析方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115828241A true CN115828241A (zh) | 2023-03-21 |
Family
ID=85544928
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211538270.9A Pending CN115828241A (zh) | 2022-12-01 | 2022-12-01 | 一种静态代码分析方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115828241A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117033164A (zh) * | 2023-05-17 | 2023-11-10 | 烟台大学 | 一种智能合约安全漏洞检测方法和系统 |
-
2022
- 2022-12-01 CN CN202211538270.9A patent/CN115828241A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117033164A (zh) * | 2023-05-17 | 2023-11-10 | 烟台大学 | 一种智能合约安全漏洞检测方法和系统 |
| CN117033164B (zh) * | 2023-05-17 | 2024-03-29 | 烟台大学 | 一种智能合约安全漏洞检测方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110383238B (zh) | 用于基于模型的软件分析的系统和方法 | |
| Sánchez et al. | Variability testing in the wild: the drupal case study | |
| Nguyen et al. | Cross-language program slicing for dynamic web applications | |
| Alhuzali et al. | Chainsaw: Chained automated workflow-based exploit generation | |
| US20190251072A1 (en) | Techniques for automated data analysis | |
| US11481311B2 (en) | Automatic evaluation of test code quality | |
| CN110059006B (zh) | 代码审计方法及装置 | |
| Zhong et al. | An empirical study on API parameter rules | |
| Degiovanni et al. | µbert: Mutation testing using pre-trained language models | |
| CN114911711A (zh) | 一种代码缺陷分析方法、装置、电子设备及存储介质 | |
| Purba et al. | Software vulnerability detection using large language models | |
| CN115828241A (zh) | 一种静态代码分析方法、装置、电子设备及存储介质 | |
| Seibt et al. | Leveraging structure in software merge: An empirical study | |
| Hills et al. | Static, lightweight includes resolution for PHP | |
| US9251013B1 (en) | Social log file collaboration and annotation | |
| Piskachev et al. | Secucheck: Engineering configurable taint analysis for software developers | |
| Srivastava et al. | Efficient integration testing using dependency analysis | |
| Sengamedu et al. | Neural language models for code quality identification | |
| Akremi | Software security static analysis false alerts handling approaches | |
| Nashaat et al. | Detecting security vulnerabilities in object-oriented php programs | |
| Lee et al. | Using symbolic execution to guide test generation | |
| Anderson et al. | Supporting analysis of SQL queries in PHP AiR | |
| Xie et al. | Idea: interactive support for secure software development | |
| CN114691197A (zh) | 代码分析方法、装置、电子设备和存储介质 | |
| Baumann et al. | Combining retrieval-augmented generation and few-shot learning for model synthesis of uncommon DSLs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |