一种代码安全评估方法及其系统技术方案

本发明专利技术的实施例提供了一种代码安全评估方法及其系统。所述一种代码安全评估方法从在线代码分享网页获取了多段代码，并且根据代码对应解决的问题从ChatLLM平台获取了AI生成的代码，然后根据代码特点对代码进行分析，以查找到安全漏洞，然后汇总识别出来的安全漏洞，进行通用弱点枚举CWE分类，根据CWE分类结果按照类型进行严重性权重系数划分，并计算CWE特定类型的出现频率，最后基于上述属性进行分数计算。通过定期从在线代码分享网页和ChatLLM平台获取的多段代码，使得代码评估的适用性更强；此外，根据代码的特点进行针对性分析，增强了代码分析的准确性；进一步地，基于代码的各种属性进行分数计算，使得安全评估考虑更全面、更准确。

【技术实现步骤摘要】

本专利技术涉及网络安全，尤其涉及一种代码安全评估方法及其系统。

技术介绍

1、随着人工智能技术的迅速发展，chatgpt等大型语言模型(llm)生成式人工智能(ai)工具在代码生成领域展现出强大的能力，以chatgpt为例，根据sonatype 2023年供应链报告，97％的开发者和安全负责人将生成式ai集成到它们的软件流程中。同时，github、stackoverflow等传统编程问答平台仍然是程序员获取代码解决方案的重要来源。然而，不管是动态开放性的llm代码生成还是静态的代码平台来源提供的代码片段可能存在安全漏洞，对软件开发的安全性构成潜在威胁。基于此，针对特定的llm chat robot比如chatgpt进行的概念性的分析(“2024ieee security and privacy workshops”)提供了一些代表性的差异化漏洞类型，旨在罗列出一些在双平台上未引起重视的安全漏洞，来提高软件开发人员在选择代码片段时对安全漏洞的意识。其主要方法为：从特定通用弱点枚举cwe源收集代码样本并将对应的问题发送给chatgpt获取代码片段，再使用静态代本文档来自技高网...

【技术保护点】

1.一种代码安全评估方法，其特征在于，包括以下步骤：

2.如权利要求1所述的一种代码安全评估方法，其特征在于，从在线代码分享网页获取的代码为利用代码克隆或网络爬虫从在线代码分享网页获取的代码，其中，所获取的代码还包括对应问题序列。

3.如权利要求2所述的一种代码安全评估方法，其特征在于，从ChatLLM平台获取的代码为向ChatLLM平台输入所述对应问题序列，并复制ChatLLM平台所返回的代码结果。

4.如权利要求1所述的一种代码安全评估方法，其特征在于，所述ChatLLM平台包括ChatGPT、Claude和Qwen。

<p>5.如权利要求1...

【技术特征摘要】

1.一种代码安全评估方法，其特征在于，包括以下步骤：

2.如权利要求1所述的一种代码安全评估方法，其特征在于，从在线代码分享网页获取的代码为利用代码克隆或网络爬虫从在线代码分享网页获取的代码，其中，所获取的代码还包括对应问题序列。

3.如权利要求2所述的一种代码安全评估方法，其特征在于，从chatllm平台获取的代码为向chatllm平台输入所述对应问题序列，并复制chatllm平台所返回的代码结果。

4.如权利要求1所述的一种代码安全评估方法，其特征在于，所述chatllm平台包括chatgpt、claude和qwen。

5.如权利要求1所述的一种代码安全评估方法，其特...

【专利技术属性】
技术研发人员：袁元，
申请(专利权)人：重庆位图信息技术有限公司，
类型：发明
国别省市：