本發明公開了一種基于私有云平臺的代碼組成分析系統和方法，它涉及代碼安全分析技術領域。本發明基于私有云計算的多任務并行高速處理平臺，采用自動化的網絡收集技術，通過在線收集構建代碼知識庫與知識圖譜，使用代碼混源技術，先識別混源代碼的組成，如開源代碼、閉源代碼、惡意代碼和可疑代碼，再與代碼安全漏洞關聯，實現對代碼安全的量化評估，構建混源代碼組成量化分析評估體系，可準確量化軟件代碼組成，減少軟件安全隱患，發現軟件知識產權風險，科學評價軟件自主化水平。

技術領域

本發明涉及的是代碼安全分析技術領域，具體涉及一種基于私有云平臺的代碼組成分析系統和方法。

背景技術

隨著信息化建設的發展，軟件作為信息化建設的核心組成要素，其所占的比重會越來越大。軟件開發已經從知識密集型向勞動密集型行業轉化，軟件代碼復用、功能模塊化、開源代碼使用、第三方插件應用等快速開發方法已成為普遍現象，軟件的安全性風險日益增大。開展自主代碼組成分析技術研究，解決軟件開源代碼、第三方插件、私有代碼重用所帶來的合規性、安全性、自主可控性等方面的風險，已成為我國當前信息化建設中需迫切解決的重要問題。目前，對海量軟件進行代碼審計，將成為科研訂購部門、試驗鑒定部門、軟件測評中心等部門的重點工作之一，建設完善的用于支撐工作開展的軟件代碼組成分析系統已成為迫切需求。

綜上所述，本發明設計了一種基于私有云平臺的代碼組成分析系統和方法。

發明內容

針對現有技術上存在的不足，本發明目的是在于提供一種基于私有云平臺的代碼組成分析系統和方法，基于私有云計算的多任務并行高速處理平臺，采用自動化的網絡收集技術，通過在線收集構建代碼知識庫與知識圖譜，使用代碼混源技術，先識別混源代碼的組成，如開源代碼、閉源代碼、惡意代碼和可疑代碼，再與代碼安全漏洞關聯，實現對代碼安全的量化評估，構建混源代碼組成量化分析評估體系，可準確量化軟件代碼組成，減少軟件安全隱患，發現軟件知識產權風險，科學評價軟件自主化水平。

為了實現上述目的，本發明是通過如下的技術方案來實現：一種基于私有云平臺的代碼組成分析系統，包括項目管理子系統、代碼分析子系統、分析評估子系統、代碼收集子系統和代碼知識庫子系統；

所述的代碼收集子系統利用網絡爬蟲技術獲取互聯網代碼和安全漏洞信息，提供持續在線、站點輪詢和代碼文件自動過濾等技術能力，實現對網絡開源二進制代碼和安全漏洞信息的高效抓取，實現代碼和安全信息的持續、全面、自動的收集和存儲。

所述的代碼收集子系統應用的關鍵技術包括：基于代碼主題的互聯網爬蟲技術和知識庫增量管理與冗余備份方法。

所述的代碼知識庫子系統利用互聯網收集到的代碼和安全漏洞數據建立代碼知識庫，存儲處理過后的代碼多級特征，按危害等級管理安全漏洞，提供代碼文件、代碼多級特征、安全漏洞之間的數據關聯能力，形成代碼的大數據資源，構建代碼知識圖譜。

所述的代碼知識庫子系統應用的關鍵技術包括：基于分級特征的知識圖譜構建方法和軟件代碼安全風險知識管理技術。

所述的代碼分析子系統應用的關鍵技術包括：基于關鍵字的開源代碼分析技術、混源代碼多級特征分析與檢測技術、變尺度滾動哈希二進制代碼分析技術和基于反匯編的代碼多級特征分析技術。

所述的代碼評估子系統負責對代碼分析結果的量化評估和可視化展示，利用代碼分析結果構建評估體系，根據選擇度量元、獲取評價指標、建立評估要素之間的相互關系，實現代碼組成量化評估、許可證合規性評估、代碼風險評估和代碼自主化評估能力，并將上述量化評估結果以用戶易理解的形式進行可視化展示。

所述的代碼評估子系統應用的關鍵技術包括：代碼組成量化評估、代碼許可證合規性評估、代碼安全風險評估和軟件代碼自主化評估。