【技术实现步骤摘要】
本专利技术涉及一种软件静态分析系统,属于计算机技术、静态分析。
技术介绍
1、随着软件应用场景的不断增加,软件程序的复杂度也不断提高,软件质量保证和安全漏洞检测变得越来越重要。传统的静态代码分析方法通常基于固定规则进行代码静态分析或者依赖于人工代码审查,这种方法不仅不够灵活,效率低下,而且容易出错。
2、目前,用于进行软件代码质量检查的手段主要包括:
3、1、人工代码检查:这是最基本和常见的方式,由开发人员手动检查代码。这种方式依赖于开发人员的经验和专业知识,通过逐行检查代码并查找潜在的错误和问题。
4、2、代码审查(code review):代码审查是一种团队合作的代码检查方式,通常由开发团队成员相互审查彼此的代码。代码审查可以通过会议、邮件或在线协作工具进行。它可以帮助发现代码逻辑错误、性能问题、安全漏洞等。
5、3、静态代码分析(static code analysis):静态代码分析是利用自动化工具对代码进行静态分析的方式。这些工具可以扫描源代码文件,检测出潜在的问题,如语法错误、潜在的内存泄漏、未使用的变量等。静态代码分析工具还可以根据预定义的编码规范或最佳实践提供建议。
6、这些方式主要存在以下问题:
7、1、效率低下,容易出错:人工代码或团队代码审查需要花费大量的时间和精力,尤其是在代码库规模较大、代码复杂度较高的情况下。由于人的思维总是存在误区,自己很难发现自己的错误,因此人工代码检查的准确性往往无法保证。
8、2、缺乏一致性:不
9、3、难以检查非功能性需求:人工代码检查往往更关注代码的语法和逻辑错误,而对于一些非功能性需求,如性能、可维护性、可扩展性等方面的检查往往不够充分。
10、4、工具不够灵活,集成度不高:工具大多基于固定规则进行代码静态分析,且需要人工执行扫描任务,难以适应较多的场景,不够灵活。大多数工具为独立运行,与项目devops工具和项目管理工具未集成或集成度不高。
技术实现思路
1、本专利技术的目的是:提供一种能够自动、高效、灵活并能准确地检测代码中潜在错误和漏洞的静态分析系统。
2、为了达到上述目的,本专利技术的技术方案是提供了一种融入devops的软件静态分析系统,其特征在于,所述软件静态分析系统的实现过程包括以下步骤:
3、步骤1、任务建立:首先在devops平台建立代码静态分析任务,设置好任务构件参数、触发方式、代码地址信息;
4、步骤2、规则配置:用户根据需要配置分析规则,配置分析规则时,能够通过图形界面或文本编辑方式进行规则配置,无需编写复杂的脚本或程序;
5、步骤3、任务执行:devops平台通过插件调取静态分析工具执行扫描任务,根据配置的分析规则对目标路径下的代码进行扫描;
6、步骤4、代码解析:系统将待分析的源代码进行解析,生成抽象语法树ast,抽象语法树ast是一种树状结构,其中每个节点代表源代码的一部分,通过遍历抽象语法树ast,可以获取代码中的各种信息,要进行的识别包括以下几个方面:
7、节点类型识别:在遍历ast的过程中,可以通过检查节点的类型来识别源代码中的不同部分。例如,可以识别出所有的函数定义节点(functiondef)、条件语句节点(if)、循环节点(for)等等。
8、常量提取:在某些情况下,可能需要提取代码中的常量。例如,如果需要寻找所有的硬编码数字或字符串。可以通过在遍历ast的过程中,查找所有具有特定值的节点。
9、变量和参数提取:也可以通过遍历ast来提取所有的变量和函数参数。这可以通过查找所有的name和arg节点来实现。
10、函数和类定义提取:通过遍历ast,可以找到所有的函数和类定义。这可以通过查找所有的functiondef和classdef节点来实现。
11、操作符提取:如果需要寻找特定的操作符或表达式,可以在遍历ast的过程中查找它们。例如,可以查找所有的加法操作符(+)或所有的比较操作符(>,<,==等)。
12、控制流提取:如果需要寻找特定的控制流结构(如if-else语句或for循环),可以通过查找对应的节点(如if和for)来提取它们。
13、导入信息提取:例如通过遍历ast来找到所有的import语句,从而获取到模块的导入信息。
14、在遍历抽象语法树ast时,使用深度优先遍历或广度优先遍历算法;在遍历每个节点时,根据需要执行相应的操作;
15、步骤5、ast分析:利用规则配置模块中配置的规则,对抽象语法树ast进行遍历和分析,找出潜在的错误和漏洞;分析模块采用数据驱动的设计方法,可以根据不同的规则生成不同的数据模型,从而支持多种错误类型的检测;
16、步骤6、报告生成:将分析结果以可视化报告的形式呈现给用户,用户可以通过报告快速了解代码中存在的问题,并进行修复。
17、优选地,步骤2中,所述分析规则包括错误类型、错误级别、错误过滤器。
18、优选地,步骤4中,生成抽象语法树ast时:系统首先进行词法分析,其中,源代码被分解成称为标记tokens的序列,这些标记tokens包括变量名、关键字以及运算符;完成词法分析后进行语法分析,使用由编程语言定义的一组规则,将标记tokens组合成称为语法单位的结构,然后生成抽象语法树ast。
19、优选地,步骤6中,报告包括错误类型、错误级别、错误位置以及相应的修复建议。
20、本专利技术公开了一种可配置规则的软件静态分析系统,该系统可以自动分析代码并根据预设规则检测潜在的错误和漏洞。与现有技术方案相比,本专利技术具有如下有益效果:
21、1)能够自动、高效、准确地检测代码中的潜在错误和漏洞;2)支持多种错误类型的检测,可以满足不同用户的需求;3)允许用户根据需要自定义规则,提高了系统的灵活性和适应性;4)融入到devops平台,可定时自动执行,自动监测软件代码质量;5)与项目管理平台集成,提供可视化报告,使用户可以快速了解和修复代码中的问题。
22、因此,本专利技术对于提高软件的质量和安全性具有重要意义。
本文档来自技高网...【技术保护点】
1.一种融入DevOps的软件静态分析系统,其特征在于,所述软件静态分析系统的实现过程包括以下步骤:
2.如权利要求1所述的一种融入DevOps的软件静态分析系统,其特征在于,步骤2中,所述分析规则包括错误类型、错误级别、错误过滤器。
3.如权利要求1所述的一种融入DevOps的软件静态分析系统,其特征在于,步骤4中,生成抽象语法树AST时:系统首先进行词法分析,其中,源代码被分解成称为标记tokens的序列,这些标记tokens包括变量名、关键字以及运算符;完成词法分析后进行语法分析,使用由编程语言定义的一组规则,将标记tokens组合成称为语法单位的结构,然后生成抽象语法树AST。
4.如权利要求1所述的一种融入DevOps的软件静态分析系统,其特征在于,步骤6中,报告包括错误类型、错误级别、错误位置以及相应的修复建议。
【技术特征摘要】
1.一种融入devops的软件静态分析系统,其特征在于,所述软件静态分析系统的实现过程包括以下步骤:
2.如权利要求1所述的一种融入devops的软件静态分析系统,其特征在于,步骤2中,所述分析规则包括错误类型、错误级别、错误过滤器。
3.如权利要求1所述的一种融入devops的软件静态分析系统,其特征在于,步骤4中,生成抽象语法树ast时:系统首先进行词法分...
【专利技术属性】
技术研发人员:章进强,顾梦园,徐鑫朋,桑耘,张洁光,孙哲,孙佳美,杜倩倩,后琪,
申请(专利权)人:华东计算技术研究所中国电子科技集团公司第三十二研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。