| 发明名称 | 基于源代码静态分析的软件安全代码分析器及其检测方法 | ||
| 摘要 | 一种基于源代码静态分析的软件安全代码分析器及其检测方法,软件安全代码分析器包括五个功能模块:代码解析器、代码分析引擎、安全风险报告器、安全规则库和用户接口,其中代码分析引擎由数据流分析器、控制流分析器、结构分析器、安全分析调度器及安全分析接口所组成,负责提取程序结构并通过基于全文的语法、语义来分析代码的安全问题;通过输入的源代码和代码的语法与语义,由该引擎分析代码的结构和关键特征,由此获取程序的安全风险并报告给用户。本发明根据输入的源程序,根据语法与语义,分析程序的结构与关键特征,从而获得程序的安全风险,并报告给用户;还可将代码分析结果通过报表,将发现的安全漏洞提交给用户进行审核与评估。 | ||
| 申请公布号 | CN101017458A | 申请公布日期 | 2007.08.15 |
| 申请号 | CN200710064155.1 | 申请日期 | 2007.03.02 |
| 申请人 | 北京邮电大学 | 发明人 | 徐国爱;张淼;徐国胜;梁婕;陈爱国 |
| 分类号 | G06F11/36(2006.01) | 主分类号 | G06F11/36(2006.01) |
| 代理机构 | 北京德琦知识产权代理有限公司 | 代理人 | 夏宪富 |
| 主权项 | 1、一种基于源代码静态分析技术的软件安全代码分析器,其特征在于:所述软件安全代码分析器包括有下述五个功能模块所组成:代码解析器,负责对源程序代码进行词法、语法分析。然后抽 象出足够多的信息并转换成抽象语法树AST来表示,再送入代码分析引擎,为后继分析提供便利;该模块还可以支持解析项目工程文件,获取工程中全部源代码信息;代码分析引擎,由分别完成各自功能的五个子功能模块:数据流分析器、控制流分析器、结构分析器、安全分析调度器及安全分析接口所组成,负责根据规则库分析程序的结构与关键特征,获得程序的安全风险,并通过安全风险报告器将结果提交给用户接口;安全风险报告器,负责根据代码分析引擎的结果,再参照规则库的相关语法与语义进行比对,将发现的安全风险提交给用户接口;安全规则库,负责为代码分析引擎提供使用可扩展标记语言XML配置的代码分析规则,以及对应不同的安全性漏洞的安全风险支持;还可以提供风险改进策略报告,即能够针对不同环境的软件系统的多样性和复杂性进行扩充;用户接口,负责与用户进行交互,一方面接受用户扫描代码的请求,另一方面则将扫描分析的结果向用户输出。 | ||
| 地址 | 100876北京市海淀区西土城路10号 | ||