【技术实现步骤摘要】
在静态代码扫描中进行密码安全检测的方法、装置和存储介质
[0001]本公开总体上涉及计算机安全领域,并且更具体地涉及在静态代码扫描中进行密码安全检测的方法、装置和存储介质。
技术介绍
[0002]在源代码中,进行硬编码密码,也就是直接使用明文密码,会使得代码出现安全隐患。有权访问该代码的任何人都能得到这个密码。一旦程序发布,如果攻击者能够访问应用程序的字节代码,那么他们就可以利用反汇编的代码,直接获取密码。
[0003]静态代码扫描能够通过扫描源代码,较为方便地找出这种在代码中进行不安全的密码设置的行为,从而提高代码安全性。
[0004]在现有技术中,在当前静态代码扫描中进行密码安全检测时,由于只检测特定变量而存在漏报,并且提供的信息不够详细的问题。
[0005]例如,图1示出了现有的静态检测密码安全性方法。在该方法中,只会对代码中出现的“password”值做匹配检测,即,通过判断这一变量是否为“password”来判断是否存在密码。用于检测类似的password变量,较为简单,如下所示。
...
【技术保护点】
【技术特征摘要】
1.一种在静态代码扫描中进行密码安全检测的方法,包括:对源代码进行语义分析以获得源代码和相应的配置文件中的常量和变量;确定获得的常量是否被用作为密码;以及通过和密码变量/方法库进行匹配,确定获得的变量是否是与密码相关的参数或方法。2.根据权利要求1所述的方法,其中,确定获得的常量是否被用作为密码包括:如果常量与关键词“密码”或其变体联用,则确定该常量被用作为密码。3.根据权利要求1所述的方法,还包括:如果和密码变量/方法库存在匹配,则确定获得的变量是否是方法名并且与方法名对应的方法是否包括“密码”变量;如果确定获得的变量是方法名并且与方法名对应的方法包括“密码”变量,则确定该变量与密码相关;以及将该变量的语言联系、前缀、方法名以及对应的方法的参数相关联地存储到密码变量/方法库中。4.根据权利要求1所述的方法,还包括:如果和密码变量/方法库不存在匹配...
【专利技术属性】
技术研发人员:肖芫莹,游耀东,闵婕,
申请(专利权)人:中国电信股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。