一种可在线调试的静态代码分析系统及方法技术方案

本发明专利技术公开了一种可在线调试的静态代码分析方法。该方法包括4个主要部分：在线代码管理模块、静态代码审计模块、在线代码解释器、用户操作界面。该方法允许用户通过在线代码管理模块对项目代码进行版本控制，同时静态代码审计模块会自动对项目代码进行安全性分析，列出可能的缺陷代码与缺陷类型。用户可在用户操作界面上对代码进行浏览、编辑、方法跟踪、设置断点操作，以快速确定项目缺陷与修复方法。

A static code analysis system and method for online debugging

The invention discloses a static code analysis method that can be debugged online. This method includes four main parts: online code management module, static code audit module, online code interpreter, user interface. This method allows users to edit the project code through the online code management module, while the static code audit module automatically analyzes the security of the project code, listing possible defect codes and defect types. Users can browse, edit, track and set breakpoints on the user interface to quickly determine project defects and repair methods.

【技术实现步骤摘要】
一种可在线调试的静态代码分析系统及方法
本专利技术使用了代码分析与代码检测技术，主要应用于代码审查，属于信息安全

技术介绍
随着网络的发展，网络安全越来越受重视，而有一大部分网络安全事件的发生源自于应用程序的安全缺陷。因此对应用程序的安全性测试显得尤为重要，源代码分析也是对应用程序安全性测试的方法之一。但是人工的代码分析会耗费大量人力与时间成本，因此需要一种自动化/半自动化方法来协助发现源代码中的安全缺陷。传统的代码分析工具基本是直接在本地对代码进行分析并输出分析报告，无设置断点、变量输出、调试等与用户交互功能，缺少对项目代码的规范管理与多用户管理。本专利技术将提供一种可在线调试的静态代码分析系统及方法，允许多用户对项目代码进行在线分析调试，来提高代码分析的效率及规范性。
技术实现思路
本发提供的是一种可在线调试的静态代码分析系统及方法，系统会先自动对项目代码进行自动化语义分析，通过规则库跟踪分析代码中潜在的安全隐患，并将安全隐患列出。用户根据系统列出的安全隐患，定位到相应的代码片段，对漏洞进行确认与分析，同时可通过客户端对代码设置断点和跟踪方式，在线对项目代码进行调试，由此来确认潜在的安全问题与系统未发现的安全问题。该专利技术可高效地发现源代码中的安全隐患，同时协助用户对源代码进行审查。附图说明图1为系统结构图。图2为业务流程图。具体实施方式如图1所示，本专利技术实施例基于C/S与B/S架构，具有独立的客户端供用户操作，同时提供在线浏览器页面供用户直接操作。本系统的组成主要包括下述四个功能模块：1.在线代码管理模块。负责对项目代码进行版本控制与用户权限控制，同时提供源代码操作接口给其它模块；2.静态代码审计模块。负责对项目源代码进行语义分析，根据规则库分析潜在的安全问题，并生成报告；3.在线代码解释器。负责对代码进行解析，供用户调试分析；4.用户操作界面。负责与用户交互，用户可在操作界面上导入、导出、修改项目。可对项目代码进行修改，设置断点，修改项目设置，查看分析结果与调试过程。该专利技术可检测的项目源码类型包括PHP、C、C++、JAVA、C#、Python、JavaScript、Perl、Ruby、Lua、JSP这些主流开发语言。本文档来自技高网...

【技术保护点】
1.一种可在线调试的静态代码分析系统及方法，其特征在于，该方法包括: 基于C/S与B/S架构，具有独立的客户端供用户操作，同时提供在线浏览器页面供用户直接操作；包括有下述四个功能模块：在线代码管理模块：负责对项目代码进行版本控制与用户权限控制，同时提供源代码操作接口给其它模块；静态代码审计模块：负责对项目源代码进行语义分析，根据规则库分析潜在的安全问题，并生成报告；在线代码解释器：负责对代码进行解析，供用户调试分析；用户操作界面：负责与用户交互，用户可在操作界面上导入、导出、修改项目；可对项目代码进行修改，设置断点，修改项目设置，查看分析结果与调试过程。

【技术特征摘要】
1.一种可在线调试的静态代码分析系统及方法，其特征在于，该方法包括:基于C/S与B/S架构，具有独立的客户端供用户操作，同时提供在线浏览器页面供用户直接操作；包括有下述四个功能模块：在线代码管理模块：负责对项目代码进行版本控制与用户权限控制，同时提供源代码操作接口给其它模块；静态代码审计模块：负责对项目源代码进行语义分析，根据规则库分析潜在的安全问题，并生成报告；在线代码解释器：负责对代码进行解析，供用户调试分析；用户操作界面：负责与用户交互，用户可在操作界面上导入、导出、修改项目；可对项目代码进行修改，设置断点，修改项目设置，查看分析结果与调试过程。2.根据权利要求1所述的在线代码管理模块，其特征在于：可对项目代码进行版本控制与用户权限控制，同时提供源代码操作接口给其它模块。3.根据权利要求1所述的静态代码审计模块，其特征在于：可检查的漏洞类型包括：XSS、代码执行、命令执行、字符串注入、任意URL跳转、(任意)文件创建、(任意)文件删除、(任意)文件包含、(任意)文件下载、(任意)文件上传、HTTP头注入、HTTP_HOST未过滤、LDAP注入、MYSQL注入、Memcached注入、MongoDB注入、NoSQL注入、XPath注入、Xquery注入、PHP对象注入、模板注入、SSRF、会话固定、变量覆盖、...

【专利技术属性】
技术研发人员：曾鸿坤，
申请(专利权)人：曾鸿坤，
类型：发明
国别省市：浙江,33