【技术实现步骤摘要】
本申请涉及通信,尤其涉及一种漏洞检测方法及设备。
技术介绍
1、在一个软件程序的安全漏洞被发现之后,需要排查相关软件程序中是否存在重复或相似的安全漏洞。目前的方案通常是采用coverity、fortify和checkmarx等静态应用安全测试(staticapplication security test,sast)工具来检查软件程序的安全漏洞或缺陷。
2、现有的检查方式中,需要通过sast工具对软件程序代码仓中的所有源代码进行词法、语法和语义分析,然后生成抽象语法树(abstract syntax tree,ast),接着再转换为中间表示(intermediate representation,ir),最终生成控制流图(control flow graph,cfg),最后根据cfg执行污点分析来识别出软件程序代码中的安全漏洞。
3、现有的漏洞检测方案中,需要进行语义分析、生成抽象语法树和等控制流图等步骤,处理过程复杂,同时需要所有的源代码才可以生成控制流图,检测方案复杂,检测效率低。
【技术保护点】
1.一种漏洞检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述待检测代码的多个源代码,生成索引文档,包括:
3.根据权利要求2所述的方法,其特征在于,所述代码行信息包括代码行文本信息,所述根据所述源代码行生成对应的代码行信息,包括:
4.根据权利要求3所述的方法,其特征在于,所述基于所述待检测代码的多个源代码,生成索引文档,包括:
5.根据权利要求1-4任一项所述的方法,其特征在于在,在所述基于漏洞规则对所述索引文档中的代码行信息进行漏洞检测之前,所述方法还包括:
6...
【技术特征摘要】
1.一种漏洞检测方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述待检测代码的多个源代码,生成索引文档,包括:
3.根据权利要求2所述的方法,其特征在于,所述代码行信息包括代码行文本信息,所述根据所述源代码行生成对应的代码行信息,包括:
4.根据权利要求3所述的方法,其特征在于,所述基于所述待检测代码的多个源代码,生成索引文档,包括:
5.根据权利要求1-4任一项所述的方法,其特征在于在,在所述基于漏洞规则对所述索引文档中的代码行信息进行漏洞检测之前,所述方法还包括:
6.根据权利要求5所述的方法,其特征在于,所述基于漏洞规则对所述索引文档中的代码行信息进行漏洞检测,确定目标...
【专利技术属性】
技术研发人员:杨超,
申请(专利权)人:河南秦尉数字技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。