本申請公開了一種基于克隆代碼脆弱性特征提取的源代碼漏洞掃描技術與系統。所述基于相似度的源代碼脆弱性檢測方法包括：獲取脆弱性函數數據集，所述脆弱性函數數據集中包括至少一個脆弱性函數；提取各個脆弱性函數的脆弱性代碼特征；根據所述脆弱性代碼特征生成脆弱性代碼指紋；獲取待檢測代碼：將所述待檢測代碼分別與各個脆弱性代碼指紋進行匹配，從而獲取符合匹配結果的待檢測代碼。本申請的基于相似度的源代碼脆弱性檢測方法相對于現有技術，能夠實現檢測時間與待測代碼量的線性相關，能夠有效檢測由重構克隆引入的代碼脆弱性。

技術領域

本申請涉及源代碼脆弱性檢測技術領域，具體涉及一種基于相似度的源代碼脆弱性檢測方法以及基于相似度的源代碼脆弱性檢測裝置。

背景技術

隨著開源軟件生態系統的不斷發展，開源代碼的數量日益龐大。著名的開源項目托管網站GitHub在2018年就已經擁有超過1億個開源代碼倉庫，這些開源代碼通常以函數的形式涵蓋大部分常用軟件功能，如加密解密、用戶認證、搜索算法等。因此，許多開發者在軟件開發過程中會克隆具有相似功能的開源代碼函數，以快速實現軟件系統模塊功能，由此便產生了軟件供應鏈的概念。供應鏈是指物料獲取、加工，并將成品送到用戶手中這一過程所涉及的企業和企業部門組成的網絡，軟件供應鏈則是項目開發過程中使用的企業內部其他工程團隊提供的代碼，以及企業外部的第三方庫和開源代碼。出于開發成本和開發效率考慮，第三方庫及開源代碼在軟件供應鏈中所占的比重逐漸提升，在帶來便利的同時也帶來了一定的安全風險。一旦這些被克隆到軟件系統中的供應鏈代碼存在脆弱性，那么整個軟件系統的完整性與可靠性均可能遭受威脅，這將嚴重影響軟件系統的正常使用。

盡管第三庫及開源代碼會在漏洞被曝光后發布補丁進行修補，但是相關研究表明，軟件開發者很少會去升級或維護軟件中克隆的代碼，結果導致克隆代碼中的漏洞被一直保留，給整個軟件帶來安全威脅。

目前對代碼安全性檢測的方法主要分為兩類：基于相似度的方法和基于模式的方法。前者通過度量待測代碼與脆弱性代碼之間的相似度進行檢測，主要用于檢測代碼克隆導致的脆弱性，能夠達到較高的精確率，實用性較高；后者則主要基于機器學習方法，檢測對象不局限于克隆導致的脆弱性，盡管后者在已知脆弱性的數據集上能獲得較好的檢測效果，但是其在真實項目中的檢測指標未明確給出，實用性有待驗證。

同時基于相似度的檢測方法已經有效實現了對精確克隆和重命名克隆代碼脆弱性的檢測，但卻無法兼顧檢測范圍與檢出能力。最典型的如重構克隆引入的代碼脆弱性，這類克隆對原始代碼進行了增刪或部分修改，卻保留了原始代碼中的脆弱性，然而目前的檢測工具無法有效檢測此類脆弱性，因此有必要對基于相似度的代碼脆弱性檢測方法進行擴展與完善，提升其檢測效果。

因此，希望有一種技術方案來克服或至少減輕現有技術的至少一個上述缺陷。

發明內容

本發明的目的在于提供一種基于相似度的源代碼脆弱性檢測方法來克服或至少減輕現有技術的至少一個上述缺陷。

本發明的一個方面，提供一種基于相似度的源代碼脆弱性檢測方法，所述基于相似度的源代碼脆弱性檢測方法包括：

獲取脆弱性函數數據集，所述脆弱性函數數據集中包括至少一個脆弱性函數；

提取各個脆弱性函數的脆弱性代碼特征；

根據所述脆弱性代碼特征生成脆弱性代碼指紋；

獲取待檢測代碼；

將所述待檢測代碼分別與各個脆弱性代碼指紋進行匹配，從而獲取符合匹配結果的待檢測代碼。

可選地，在所述獲取脆弱性函數數據集，所述脆弱性函數數據集中包括至少一個脆弱性函數之前，所述基于相似度的源代碼脆弱性檢測方法進一步包括：

獲取源碼數據；

獲取代碼提交記錄；