軟件源代碼靜態(tài)分析缺陷分類(lèi)的研究.pdf_第1頁(yè)
已閱讀1頁(yè),還剩58頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、伴隨著基于計(jì)算機(jī)應(yīng)用的不斷發(fā)展而現(xiàn)存的計(jì)算機(jī)安全問(wèn)題,大部分是由于應(yīng)用軟件本身的安全缺陷引起的,而應(yīng)用軟件本身的安全問(wèn)題大部分是由軟件的源代碼缺陷所造成的,基于源代碼的缺陷分類(lèi)是構(gòu)建源代碼靜態(tài)檢測(cè)系統(tǒng)的基礎(chǔ)和靈魂,故如何運(yùn)用源代碼缺陷分類(lèi)構(gòu)建源代碼分析系統(tǒng)去檢測(cè)軟件的安全性已經(jīng)成為信息科學(xué)技術(shù)領(lǐng)域迫切需要解決的問(wèn)題。
   軟件源代碼靜態(tài)分析缺陷是指用靜態(tài)檢測(cè)方法即不運(yùn)行被測(cè)程序本身,僅通過(guò)分析或檢查源程序的語(yǔ)法、過(guò)程、結(jié)構(gòu)、接

2、口等來(lái)檢查程序的正確性的方法所分析得出的軟件源代碼缺陷。
   本文分析了大量源代碼靜態(tài)缺陷分類(lèi)數(shù)據(jù),如分析了CWE缺陷分類(lèi),F(xiàn)indBugs缺陷分類(lèi),某商業(yè)軟件缺陷分類(lèi);對(duì)以上三種缺陷分類(lèi)進(jìn)行了仔細(xì)全面的分析綜合,以以上三種缺陷分類(lèi)的內(nèi)容作為分類(lèi)基礎(chǔ),根據(jù)源代碼靜態(tài)缺陷產(chǎn)生的根源從詞法、語(yǔ)法、語(yǔ)義三個(gè)層次分析源代碼造成的缺陷類(lèi)別作為依據(jù),以正交缺陷分類(lèi)度量方法作為缺陷分類(lèi)的分類(lèi)方法,總結(jié)得出源代碼靜態(tài)分析缺陷分類(lèi)。
  

3、 以正交缺陷分類(lèi)度量方法得出的缺陷分類(lèi)分為9個(gè)大類(lèi),203個(gè)子類(lèi),473個(gè)細(xì)類(lèi),每個(gè)類(lèi)別之間相互正交,每個(gè)作為終極分類(lèi)的子類(lèi)和每個(gè)細(xì)類(lèi)都有10個(gè)屬性,分別為缺陷類(lèi)別ID,缺陷類(lèi)型,缺陷名稱(chēng),缺陷嚴(yán)重等級(jí),缺陷優(yōu)先級(jí),語(yǔ)言類(lèi)型,詳細(xì)描述,修復(fù)建議,參考CWE,缺陷樣本。
   該源代碼靜態(tài)缺陷分類(lèi)既可以彌補(bǔ)傳統(tǒng)缺陷分類(lèi)方法中的不足,又達(dá)到傳統(tǒng)缺陷分類(lèi)無(wú)法實(shí)現(xiàn)的某些特定目標(biāo),如缺陷樣本。該分類(lèi)對(duì)每一個(gè)缺陷分類(lèi)都有詳盡的缺陷樣本,更

4、詳盡的對(duì)各種語(yǔ)言都有對(duì)應(yīng)的樣本代碼,并附上對(duì)樣本的解釋和修復(fù)建議,方便測(cè)試人員對(duì)照分析比對(duì)。采用以上三種方法技術(shù)結(jié)合實(shí)現(xiàn)的缺陷分類(lèi)系業(yè)內(nèi)最全面,最仔細(xì)(源代碼靜態(tài)缺陷分類(lèi)覆蓋面廣,幾乎覆蓋了所有源代碼中出現(xiàn)的缺陷類(lèi)別),最詳盡(分類(lèi)包含內(nèi)容齊全,不僅包含缺陷分類(lèi)的類(lèi)別,嚴(yán)重程度,詳細(xì)描述,還包含目前許多同類(lèi)缺陷分類(lèi)所沒(méi)有的修復(fù)建議,缺陷樣本)的源代碼靜態(tài)缺陷分類(lèi)。源代碼靜態(tài)安全缺陷分類(lèi)同時(shí)在擴(kuò)展性(與CWE缺陷分類(lèi)關(guān)聯(lián),其他種類(lèi)劃分的缺

5、陷分類(lèi)只要與CWE能對(duì)應(yīng)或者能在CWE中找到與之相關(guān)的都可與源代碼靜態(tài)分析缺陷分類(lèi)對(duì)應(yīng)起來(lái))、完備性(不僅包含其他分類(lèi)的優(yōu)點(diǎn),更能體現(xiàn)出其他分類(lèi)所不能體現(xiàn)的優(yōu)點(diǎn))、兼容性(能與各源代碼檢測(cè)工具的結(jié)果進(jìn)行比對(duì),殊途同歸)等缺陷檢測(cè)和缺陷管理等方面都取得了很好的效果。
   本文的主要成果如下:
   (1)分析了傳統(tǒng)的源代碼靜態(tài)安全缺陷分類(lèi)方法,總結(jié)其優(yōu)缺點(diǎn),提出構(gòu)建完整缺陷分類(lèi)的重要性。
   (2)介紹當(dāng)前軟件

6、代碼的風(fēng)險(xiǎn)分類(lèi),分析各種類(lèi)型風(fēng)險(xiǎn)的成因,討論了幾種常見(jiàn)缺陷分類(lèi)方法,如CwE缺陷分類(lèi),F(xiàn)indBugs缺陷分類(lèi),某商業(yè)軟件缺陷分類(lèi)等方法,在大量缺陷分類(lèi)數(shù)據(jù)的基礎(chǔ)上總結(jié)出完善的源代碼靜態(tài)分析缺陷分類(lèi)。
   (3)結(jié)合現(xiàn)在成熟的詞法分析、語(yǔ)法分析、結(jié)構(gòu)流、數(shù)據(jù)流、控制流技術(shù),從源代碼缺陷的理論根源上出發(fā),并運(yùn)用正交缺陷分類(lèi)方法作為度量方法和手段,從源代碼入手,根據(jù)詞法、語(yǔ)法與語(yǔ)義層次結(jié)構(gòu),分析程序的結(jié)構(gòu)與關(guān)鍵特征,從而獲得程序的

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論