本說(shuō)明書的實(shí)施例提供一種用于應(yīng)用系統(tǒng)的數(shù)據(jù)傳播追蹤的系統(tǒng)及方法。在該系統(tǒng)中，代碼編譯裝置對(duì)應(yīng)用系統(tǒng)的程序源代碼進(jìn)行代碼編譯得到代碼編譯結(jié)果。代碼建模裝置使用代碼編譯結(jié)果進(jìn)行代碼建模來(lái)構(gòu)建污點(diǎn)分析所需的要素信息，所述要素信息包括污染起點(diǎn)、污染終點(diǎn)和程序入口點(diǎn)。然后，污點(diǎn)分析裝置使用所構(gòu)建的要素信息來(lái)對(duì)所述代碼編譯結(jié)果進(jìn)行污點(diǎn)分析，得到所述應(yīng)用系統(tǒng)的數(shù)據(jù)傳播路徑信息，所述數(shù)據(jù)傳播路徑信息用于指示污染起點(diǎn)與污染終點(diǎn)之間的數(shù)據(jù)流向關(guān)系。

技術(shù)領(lǐng)域

本說(shuō)明書實(shí)施例通常涉及安全領(lǐng)域、軟件工程、軟件編譯或程序分析領(lǐng)域，尤其涉及用于應(yīng)用系統(tǒng)的數(shù)據(jù)傳播追蹤的系統(tǒng)及方法。

背景技術(shù)

近年來(lái)，工業(yè)界對(duì)靜態(tài)污點(diǎn)分析技術(shù)的需求越來(lái)越高，尤其是具有高可擴(kuò)展性和正確性的污點(diǎn)分析工具。污點(diǎn)分析技術(shù)可以幫助工業(yè)界跟蹤數(shù)據(jù)傳播鏈路，由此解決很多復(fù)雜場(chǎng)景中的數(shù)據(jù)問題，比如，隱私泄露、資損分析、變更管控、數(shù)據(jù)一致性等。如何實(shí)現(xiàn)應(yīng)用系統(tǒng)中的數(shù)據(jù)傳播追蹤，成為了亟待解決的問題。

發(fā)明內(nèi)容

鑒于上述，本說(shuō)明書實(shí)施例提供應(yīng)用系統(tǒng)的數(shù)據(jù)傳播追蹤系統(tǒng)及方法。利用該數(shù)據(jù)傳播追蹤系統(tǒng)和方法，可以實(shí)現(xiàn)針對(duì)應(yīng)用系統(tǒng)的過(guò)程間調(diào)用的污點(diǎn)分析并且得到所訪問數(shù)據(jù)的數(shù)據(jù)傳播路徑信息，從而實(shí)現(xiàn)針對(duì)所訪問數(shù)據(jù)的數(shù)據(jù)流轉(zhuǎn)追蹤。

根據(jù)本說(shuō)明書實(shí)施例的一個(gè)方面，提供一種用于應(yīng)用系統(tǒng)的數(shù)據(jù)傳播追蹤的系統(tǒng)，包括：代碼編譯裝置，對(duì)應(yīng)用系統(tǒng)的程序源代碼進(jìn)行代碼編譯得到代碼編譯結(jié)果；代碼建模裝置，使用所述代碼編譯結(jié)果進(jìn)行代碼建模來(lái)構(gòu)建污點(diǎn)分析所需的要素信息，所述要素信息包括污染起點(diǎn)、污染終點(diǎn)和程序入口點(diǎn)；以及污點(diǎn)分析裝置，使用所構(gòu)建的要素信息來(lái)對(duì)所述代碼編譯結(jié)果進(jìn)行污點(diǎn)分析，得到所述應(yīng)用系統(tǒng)的數(shù)據(jù)傳播路徑信息，所述數(shù)據(jù)傳播路徑信息用于指示污染起點(diǎn)與污染終點(diǎn)之間的數(shù)據(jù)流向關(guān)系。

可選地，在上述方面的一個(gè)示例中，所述數(shù)據(jù)傳播路徑信息是字段對(duì)之間的數(shù)據(jù)流向關(guān)系，以及所述字段包括代碼字段或數(shù)據(jù)庫(kù)字段。

可選地，在上述方面的一個(gè)示例中，所述系統(tǒng)還包括：數(shù)據(jù)存儲(chǔ)裝置，將所述應(yīng)用系統(tǒng)的數(shù)據(jù)傳播路徑信息存儲(chǔ)到數(shù)據(jù)庫(kù)中。

可選地，在上述方面的一個(gè)示例中，所存儲(chǔ)的數(shù)據(jù)傳播路徑信息被構(gòu)建為數(shù)據(jù)流圖。

可選地，在上述方面的一個(gè)示例中，所述應(yīng)用系統(tǒng)包括多個(gè)應(yīng)用系統(tǒng)，以及所述數(shù)據(jù)流圖包括通過(guò)鏈接所述多個(gè)應(yīng)用系統(tǒng)的數(shù)據(jù)傳播路徑信息而構(gòu)建的跨應(yīng)用系統(tǒng)的數(shù)據(jù)流圖。

可選地，在上述方面的一個(gè)示例中，所述系統(tǒng)還包括：路徑信息查詢裝置，響應(yīng)于數(shù)據(jù)傳播路徑信息查詢請(qǐng)求，在所述數(shù)據(jù)庫(kù)中進(jìn)行數(shù)據(jù)傳播路徑信息查詢，并提供數(shù)據(jù)傳播路徑信息查詢結(jié)果。

可選地，在上述方面的一個(gè)示例中，所述路徑信息查詢裝置包括：路徑信息查詢接口，所述路徑信息查詢接口被用戶使用來(lái)輸入路徑信息查詢請(qǐng)求；以及可視化呈現(xiàn)單元，將所查詢到的數(shù)據(jù)傳播路徑信息以可視化的方式呈現(xiàn)給用戶。

可選地，在上述方面的一個(gè)示例中，所述系統(tǒng)還包括：分布式調(diào)度裝置，對(duì)所述應(yīng)用系統(tǒng)的污點(diǎn)分析任務(wù)進(jìn)行分布式調(diào)度。

可選地，在上述方面的一個(gè)示例中，所述代碼編譯裝置還對(duì)所述代碼編譯結(jié)果進(jìn)行補(bǔ)包處理。

可選地，在上述方面的一個(gè)示例中，所述應(yīng)用系統(tǒng)的應(yīng)用框架是Sofa框架，以及所述代碼建模裝置包括：配置文件掃描單元，對(duì)所述代碼編譯結(jié)果進(jìn)行配置文件掃描，得到SQL配置文件和類文件，并且按照拓?fù)浣Y(jié)構(gòu)來(lái)組織所述類文件得到SOA模型拓?fù)洌籗QL轉(zhuǎn)換單元，將所述SQL配置文件中的類SQL語(yǔ)句轉(zhuǎn)換為可解析SQL語(yǔ)句；SQL解析單元，將經(jīng)過(guò)轉(zhuǎn)換后的SQL配置文件中的可解析SQL語(yǔ)句解析為表和字段；要素構(gòu)建單元，對(duì)數(shù)據(jù)訪問層和應(yīng)用框架進(jìn)行代碼分析，構(gòu)建代碼層的要素信息；以及關(guān)聯(lián)映射單元，將基于所述數(shù)據(jù)訪問層構(gòu)建的要素信息與所述SQL配置文件中的經(jīng)過(guò)解析后的SQL語(yǔ)句中的字段進(jìn)行關(guān)聯(lián)映射。