技術(shù)領(lǐng)域

本發(fā)明涉及源代碼檢測領(lǐng)域，更具體地說，涉及一種軟件源代碼安全缺陷分析的方法和裝置。

背景技術(shù)

隨著社會信息化的不斷加深，人們不得不開始面對日益突出的信息安全問題。研究表明，相當(dāng)數(shù)量的安全問題是由于軟件自身的安全漏洞引起的。軟件開發(fā)過程中引入的大量缺陷，是產(chǎn)生軟件漏洞的重要原因之一。

不同的軟件缺陷會產(chǎn)生不同的后果，必須區(qū)別對待各類缺陷，分析原因，研究其危害程度，預(yù)防方法等。建立一個比較完整的缺陷分類信息，對預(yù)防和修復(fù)軟件安全缺陷具有指導(dǎo)作用。

軟件缺陷一般按性質(zhì)分類，目前已有很多不同的軟件缺陷分類法，但在當(dāng)前實際審查使用中，這些缺陷分類存在以下弊端：

(1)專門針對代碼審查階段發(fā)現(xiàn)缺陷的分類較少。現(xiàn)有的分類法一般包括動態(tài)測試發(fā)現(xiàn)的缺陷類型和文檔缺陷等，而在代碼審查中這些缺陷類型并不是審查關(guān)注的重點。

(2)有些代碼缺陷分類中的缺陷類型不適應(yīng)當(dāng)前代碼審查實情，而一些新的代碼缺陷類型則沒有被包括。

(3)目前源代碼缺陷分類種類繁多，標(biāo)準(zhǔn)不一，各有欠缺。沒有一個專門針對源代碼缺陷的，比較仔細(xì)，完善的分類。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題在于，提供一種對不同工具檢測獲得的軟件源代碼的缺陷用統(tǒng)一的尺度描述的軟件源代碼安全缺陷分析的方法和裝置。

本發(fā)明公開了一種軟件源代碼安全缺陷分析的方法，包括：

S1.設(shè)定源代碼缺陷類型多個缺陷數(shù)據(jù)組，所述的缺陷數(shù)據(jù)組包括：缺陷原因數(shù)據(jù)組、缺陷結(jié)果數(shù)據(jù)組、缺陷表現(xiàn)形式數(shù)據(jù)組；

S2.調(diào)取源代碼并解析缺陷原因、結(jié)果、表現(xiàn)形式；

S3.判斷所述的缺陷原因、結(jié)果、表現(xiàn)形式是否處于所述的缺陷數(shù)據(jù)組中，若是，進(jìn)入步驟S4，若否，進(jìn)入步驟S31，將所述的缺陷原因和/或結(jié)果和/或表現(xiàn)形式加入到所述的缺陷數(shù)據(jù)組中；

S4.生成所述的源代碼原因、結(jié)果、表現(xiàn)形式并顯示。

在本發(fā)明所述的軟件源代碼安全缺陷分析的方法中，所述的缺陷原因包括內(nèi)因、外因、主客觀原因。

在本發(fā)明所述的軟件源代碼安全缺陷分析的方法中，所述的缺陷原因數(shù)據(jù)組，具體是：注入缺陷及驗證、應(yīng)用程序編程接口錯誤、訪問控制及密碼失效、資源共享與競爭、異常處理、不安全源碼質(zhì)量、邊界處理、配置錯誤、惡意代碼。

在本發(fā)明所述的軟件源代碼安全缺陷分析的方法中，所述的缺陷結(jié)果數(shù)據(jù)組，

具體是：緩沖區(qū)溢出、整數(shù)溢出、命令注入、跨站腳本、拒絕服務(wù)、路徑操縱、進(jìn)程控制、資源注入、配置操縱、SQL注入、內(nèi)存溢出。

在本發(fā)明所述的軟件源代碼安全缺陷分析的方法中，所述的缺陷表現(xiàn)形式數(shù)據(jù)組，具體是：格式化字符串、賦值的目標(biāo)存儲空間不夠、未使用括號保證操作的優(yōu)先級、嘗試修改常量、引用未初始化的變量。

本發(fā)明公開了一種軟件源代碼安全缺陷分析的裝置，用于實現(xiàn)上述的方法，包括：

缺陷數(shù)據(jù)組設(shè)定單元：設(shè)定源代碼缺陷類型多個缺陷數(shù)據(jù)組，所述的缺陷數(shù)據(jù)組包括：缺陷原因數(shù)據(jù)組、缺陷結(jié)果數(shù)據(jù)組、缺陷表現(xiàn)形式數(shù)據(jù)組；

源代碼缺陷解析單元：與所述的缺陷數(shù)據(jù)組設(shè)定單元相連，用于調(diào)取源代碼并解析缺陷原因、結(jié)果、表現(xiàn)形式；

源代碼缺陷判斷單元：與所述的源代碼缺陷解析單元相連，用于判斷所述的缺陷原因、結(jié)果、表現(xiàn)形式是否處于所述的缺陷數(shù)據(jù)組中；

源代碼缺陷顯示單元：與所述的源代碼缺陷判斷單元相連，用于生成所述的源代碼原因、結(jié)果、表現(xiàn)形式并顯示。

在本發(fā)明所述的軟件源代碼安全缺陷分析的裝置中，所述的缺陷原因包括內(nèi)因、外因、主客觀原因。

在本發(fā)明所述的軟件源代碼安全缺陷分析的裝置中，所述的缺陷原因數(shù)據(jù)組，具體是：注入缺陷及驗證、應(yīng)用程序編程接口錯誤、訪問控制及密碼失效、資源共享與競爭、異常處理、不安全源碼質(zhì)量、邊界處理、配置錯誤、惡意代碼。

在本發(fā)明所述的軟件源代碼安全缺陷分析的裝置中，所述的缺陷結(jié)果數(shù)據(jù)組，具體是：緩沖區(qū)溢出、整數(shù)溢出、命令注入、跨站腳本、拒絕服務(wù)、路徑操縱、進(jìn)程控制、資源注入、配置操縱、SQL注入、內(nèi)存溢出。

在本發(fā)明所述的軟件源代碼安全缺陷分析的裝置中，所述的缺陷表現(xiàn)形式數(shù)據(jù)組，具體是：格式化字符串、賦值的目標(biāo)存儲空間不夠、未使用括號保證操作的優(yōu)先級、嘗試修改常量、引用未初始化的變量。

實施本發(fā)明的一種軟件源代碼安全缺陷分析的方法和裝置，具有以下有益的技術(shù)效果：

1.不同工具檢測的缺陷用統(tǒng)一的尺度描述，清楚具體，直觀性強(qiáng)；