本申請?zhí)峁┮环N代碼安全缺陷分析方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)，其中，代碼安全缺陷分析方法包括：對被測對象進(jìn)行靜態(tài)分析，得到所述被測對象中存在的代碼安全缺陷；對所述被測對象進(jìn)行軟件成分分析，識(shí)別出所述被測對象中存在的第三方組件的源文件；從各所述代碼安全缺陷中，確定出所述源文件對應(yīng)的代碼安全缺陷。這樣，就無需開發(fā)人員在得到被測對象中存在的所有代碼安全缺陷之后，再進(jìn)行人工篩選，從而降低了人力成本，提高了安全缺陷的修復(fù)效率。

技術(shù)領(lǐng)域

本申請涉及軟件技術(shù)領(lǐng)域，具體而言，涉及一種代碼安全缺陷分析方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)

源代碼的靜態(tài)分析技術(shù)和軟件成分分析技術(shù)，是兩種最常見的應(yīng)用安全測試技術(shù)，并通常分別以獨(dú)立的產(chǎn)品形態(tài)存在。源代碼的靜態(tài)分析，可以通過程序分析技術(shù)發(fā)現(xiàn)源代碼中存在的緩沖區(qū)溢出、SQL(Structured Query Language，結(jié)構(gòu)化查詢語言)注入等各種安全缺陷。軟件成分分析技術(shù)，則可以通過源代碼或者二進(jìn)制中的特征值識(shí)別項(xiàng)目中所使用的第三方組件。

目前，當(dāng)通過直接使用源代碼的方式引入第三方組件時(shí)，第三方組件的源代碼會(huì)作為被測對象的一部分，從而也會(huì)被靜態(tài)分析產(chǎn)品所檢測，產(chǎn)生相應(yīng)的源代碼安全缺陷。但是，對于這些第三方組件的源代碼所產(chǎn)生的安全缺陷，由于第三方組件的源代碼并非是開發(fā)人員自己所寫的代碼，通常開發(fā)人員無法進(jìn)行修復(fù)。這就導(dǎo)致當(dāng)靜態(tài)分析產(chǎn)品檢測完畢后，開發(fā)人員還需要進(jìn)一步的通過人工篩選的方式，從所有的安全缺陷中篩選出第三方組件的源代碼所產(chǎn)生的安全缺陷，進(jìn)而對所識(shí)別出的所有安全缺陷中，除這些安全缺陷(即第三方組件的源代碼所產(chǎn)生的安全缺陷)以外的其他安全缺陷進(jìn)行修復(fù)。這就需要投入大量的人力成本，且篩選效率低下，嚴(yán)重影響安全缺陷的修復(fù)效率。

發(fā)明內(nèi)容

本申請實(shí)施例的目的在于提供一種代碼安全缺陷分析方法、裝置、電子設(shè)備及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，用以解決目前當(dāng)靜態(tài)分析產(chǎn)品檢測完畢后，開發(fā)人員還需要進(jìn)一步的通過人工篩選的方式，從所有的安全缺陷中篩選出第三方組件的源代碼所產(chǎn)生的安全缺陷，需要投入大量的人力成本，且篩選效率低下，嚴(yán)重影響安全缺陷的修復(fù)效率的問題。

本申請實(shí)施例的目的還在于提供一種第三方組件的源文件識(shí)別方法、裝置、電子設(shè)備及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，用以解決目前第三方組件的識(shí)別成功率低的問題。

本申請實(shí)施例提供了一種代碼安全缺陷分析方法，包括：對被測對象進(jìn)行靜態(tài)分析，得到所述被測對象中存在的代碼安全缺陷；對所述被測對象進(jìn)行軟件成分分析，識(shí)別出所述被測對象中存在的第三方組件的源文件；從各所述代碼安全缺陷中，確定出所述源文件對應(yīng)的代碼安全缺陷。

在上述實(shí)現(xiàn)過程中，在對被測對象進(jìn)行靜態(tài)分析，得到被測對象中存在的所有代碼安全缺陷之后，通過對被測對象進(jìn)行軟件成分分析，識(shí)別出被測對象中存在的第三方組件的源文件，進(jìn)而即可從各代碼安全缺陷中，確定出屬于第三方組件的源文件對應(yīng)的代碼安全缺陷。這樣，就無需開發(fā)人員在得到被測對象中存在的所有代碼安全缺陷之后，再進(jìn)行人工篩選，從而降低了人力成本，提高了代碼安全缺陷的篩選效率，從而提高了安全缺陷的修復(fù)效率。

進(jìn)一步地，所述方法還包括：截獲所述被測對象在編譯過程中所產(chǎn)生的編譯指令；收集所述編譯過程中涉及的所有源文件；所述對被測對象進(jìn)行靜態(tài)分析，得到所述被測對象中存在的代碼安全缺陷，包括：對所述編譯指令和所述所有源文件進(jìn)行分析，得到所述被測對象中存在的代碼安全缺陷；所述對所述被測對象進(jìn)行軟件成分分析，識(shí)別出所述被測對象中存在的第三方組件的源文件，包括：對所述所有源文件進(jìn)行軟件成分分析，識(shí)別出所述第三方組件的源文件。

在上述實(shí)現(xiàn)過程中，通過獲取被測對象在編譯過程中所產(chǎn)生的編譯指令以及編譯過程中涉及的所有源文件，進(jìn)而可以基于編譯指令和源文件進(jìn)行靜態(tài)分析，得到更為準(zhǔn)確的被測對象中所存在的代碼安全缺陷；基于編譯過程中涉及的所有源文件進(jìn)行軟件成分分析，可以保證軟件成分分析結(jié)果的可靠性。