【技术实现步骤摘要】
源代码漏洞检测方法及装置
[0001]本专利技术涉及源代码检测,具体而言,涉及一种源代码漏洞检测方法及装置。
技术介绍
[0002]源代码缺陷是指在软件开发过程中产生的有意或无意的漏洞,这些缺陷以不同的形式存在于软件源代码中,一旦被恶意利用,就会对软件或操作系统的安全造成损害。
[0003]现有技术通常采用人工审计、静态工具扫描、人工审计与静态工具相结合的方法来检测代码中的缺陷。人工审计即人工对源代码进行走查,依据缺陷的特征进行查找和分析,从而确定是否存在缺陷。人工审计对人员要求非常高,需要相关人员熟悉软件业务,能够读懂源代码且具有丰富的安全知识,即使如此,在面对巨大的源代码量时,单纯通过人工审计很难在有限的时间内发现全部问题,而且也容易出现误判的情况。
[0004]由此可见,现有的人工审计方法存在费时费力、容易出现误判的问题,针对该问题现有技术缺少一种有效的解决方案。
技术实现思路
[0005]本专利技术为了解决上述
技术介绍
中的至少一个技术问题,提出了一种源代码漏洞检测方法及装置。
...
【技术保护点】
【技术特征摘要】
1.一种源代码漏洞检测方法,其特征在于,包括:通过预设的源代码漏洞分析引擎并基于预设的漏洞规则库对软件的源代码进行分析,得到第一漏洞检测结果;将所述第一漏洞检测结果中的各漏洞与预设的误报漏洞库进行匹配,得到所述第一漏洞检测结果中的疑似误报漏洞;针对每个所述疑似误报漏洞,通过预设的辅助人工审计模块对对漏洞是否存在具有直接影响的动态因素进行分析,得到每个所述疑似误报漏洞各自对应的误报分析结果;根据所述误报分析结果生成第二漏洞检测结果。2.根据权利要求1所述的源代码漏洞检测方法,其特征在于,所述漏洞规则库包含了每种漏洞各自对应的漏洞成因特征以及Java语句特征,所述Java语句特征具体包括:危险函数和无需声明直接使用的内置对象。3.根据权利要求1所述的源代码漏洞检测方法,其特征在于,所述源代码漏洞分析引擎具体包括:语义分析引擎、控制流分析引擎、数据流分析引擎以及配置分析引擎;所述语义分析引擎用于发现易于遭受攻击的语言函数或者过程;所述控制流分析引擎用于跟踪业务操作的先后顺序,发现因代码构造不合理而带来的软件安全隐患;所述数据流分析引擎用于获取数据如何在程序的执行路径上的流动信息;所述配置分析引擎用于发现软件的配置文件中违反规则的策略漏洞。4.根据权利要求1所述的源代码漏洞检测方法,其特征在于,还包括:对通过人工审计识别出的误报漏洞进行统计分析,确定出高误报漏洞;根据所述高误报漏洞建立误报漏洞库。5.根据权利要求1所述的源代码漏洞检测方法,其特征在于,所述针对每个所述疑似误报漏洞,通过预设的辅助人工审计模块对对漏洞是否存在具有直接影响的动态因素进行分析,得到每个所述疑似误报漏洞各自对应的误报分析结果,具体包括:将所述疑似误报漏洞发送到所述辅助人工审计模块,以使所述辅助人工审计模块从预设的人工审计信息库中确定出每种所述疑似误报漏洞各自对应的人工审计需要关注和走查的信息,并将所述人工审计需要关注和走查的信息发送给审计人员,使得所述审计人员根据所述人工审计需要关注和走查的信息对每个所述疑似误报漏洞进行人工核查;获取所述辅助人工审计模块发送的每个所述疑似误报漏洞各自对应的误报分析结果,其中,所述审计人员在完成人工核查后将每个所述疑似误报漏洞各自对应的误报分析结果发送给所述辅助人工审计模块。6.根据权利要求1所述的源代码漏洞检测方法,其特征在于,所述动态因素具体包括:第三方框架及版本、过滤器、拦截器、自定义的过滤函数、业务逻辑、以及程序外部情况。7.一种源代码漏洞检测装置,其特征在于,包括:漏洞初检单元,用于通过预设的源代码漏洞分析引擎并基于预设的漏洞规则库对软件的源代码进行分析,得到第一漏洞检测结果;疑似误报漏洞确定单元,用于将所述第一漏洞检测结果中的各漏洞与预设的误报漏洞库进行匹配,得到所述第一漏洞检测结...
【专利技术属性】
技术研发人员:李敏,高冉馨,孙跃,司冠林,陈威,徐小天,
申请(专利权)人:国家电网有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。