版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、伴隨著基于計算機應(yīng)用的不斷發(fā)展而現(xiàn)存的計算機安全問題,大部分是由于應(yīng)用軟件本身的安全缺陷引起的,而應(yīng)用軟件本身的安全問題大部分是由軟件的源代碼缺陷所造成的,基于源代碼的缺陷分類是構(gòu)建源代碼靜態(tài)檢測系統(tǒng)的基礎(chǔ)和靈魂,故如何運用源代碼缺陷分類構(gòu)建源代碼分析系統(tǒng)去檢測軟件的安全性已經(jīng)成為信息科學(xué)技術(shù)領(lǐng)域迫切需要解決的問題。
軟件源代碼靜態(tài)分析缺陷是指用靜態(tài)檢測方法即不運行被測程序本身,僅通過分析或檢查源程序的語法、過程、結(jié)構(gòu)、接
2、口等來檢查程序的正確性的方法所分析得出的軟件源代碼缺陷。
本文分析了大量源代碼靜態(tài)缺陷分類數(shù)據(jù),如分析了CWE缺陷分類,F(xiàn)indBugs缺陷分類,某商業(yè)軟件缺陷分類;對以上三種缺陷分類進行了仔細全面的分析綜合,以以上三種缺陷分類的內(nèi)容作為分類基礎(chǔ),根據(jù)源代碼靜態(tài)缺陷產(chǎn)生的根源從詞法、語法、語義三個層次分析源代碼造成的缺陷類別作為依據(jù),以正交缺陷分類度量方法作為缺陷分類的分類方法,總結(jié)得出源代碼靜態(tài)分析缺陷分類。
3、 以正交缺陷分類度量方法得出的缺陷分類分為9個大類,203個子類,473個細類,每個類別之間相互正交,每個作為終極分類的子類和每個細類都有10個屬性,分別為缺陷類別ID,缺陷類型,缺陷名稱,缺陷嚴重等級,缺陷優(yōu)先級,語言類型,詳細描述,修復(fù)建議,參考CWE,缺陷樣本。
該源代碼靜態(tài)缺陷分類既可以彌補傳統(tǒng)缺陷分類方法中的不足,又達到傳統(tǒng)缺陷分類無法實現(xiàn)的某些特定目標,如缺陷樣本。該分類對每一個缺陷分類都有詳盡的缺陷樣本,更
4、詳盡的對各種語言都有對應(yīng)的樣本代碼,并附上對樣本的解釋和修復(fù)建議,方便測試人員對照分析比對。采用以上三種方法技術(shù)結(jié)合實現(xiàn)的缺陷分類系業(yè)內(nèi)最全面,最仔細(源代碼靜態(tài)缺陷分類覆蓋面廣,幾乎覆蓋了所有源代碼中出現(xiàn)的缺陷類別),最詳盡(分類包含內(nèi)容齊全,不僅包含缺陷分類的類別,嚴重程度,詳細描述,還包含目前許多同類缺陷分類所沒有的修復(fù)建議,缺陷樣本)的源代碼靜態(tài)缺陷分類。源代碼靜態(tài)安全缺陷分類同時在擴展性(與CWE缺陷分類關(guān)聯(lián),其他種類劃分的缺
5、陷分類只要與CWE能對應(yīng)或者能在CWE中找到與之相關(guān)的都可與源代碼靜態(tài)分析缺陷分類對應(yīng)起來)、完備性(不僅包含其他分類的優(yōu)點,更能體現(xiàn)出其他分類所不能體現(xiàn)的優(yōu)點)、兼容性(能與各源代碼檢測工具的結(jié)果進行比對,殊途同歸)等缺陷檢測和缺陷管理等方面都取得了很好的效果。
本文的主要成果如下:
(1)分析了傳統(tǒng)的源代碼靜態(tài)安全缺陷分類方法,總結(jié)其優(yōu)缺點,提出構(gòu)建完整缺陷分類的重要性。
(2)介紹當前軟件
6、代碼的風(fēng)險分類,分析各種類型風(fēng)險的成因,討論了幾種常見缺陷分類方法,如CwE缺陷分類,F(xiàn)indBugs缺陷分類,某商業(yè)軟件缺陷分類等方法,在大量缺陷分類數(shù)據(jù)的基礎(chǔ)上總結(jié)出完善的源代碼靜態(tài)分析缺陷分類。
(3)結(jié)合現(xiàn)在成熟的詞法分析、語法分析、結(jié)構(gòu)流、數(shù)據(jù)流、控制流技術(shù),從源代碼缺陷的理論根源上出發(fā),并運用正交缺陷分類方法作為度量方法和手段,從源代碼入手,根據(jù)詞法、語法與語義層次結(jié)構(gòu),分析程序的結(jié)構(gòu)與關(guān)鍵特征,從而獲得程序的
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 軟件源代碼安全分析研究.pdf
- 基于靜態(tài)分析的代碼安全缺陷檢測系統(tǒng).pdf
- 基于軟件倉庫的源代碼演化分析.pdf
- 軟件源代碼轉(zhuǎn)讓合同
- 軟件缺陷靜態(tài)預(yù)測研究.pdf
- 基于靜態(tài)分析的JAVA源代碼漏洞檢測系統(tǒng)設(shè)計與實現(xiàn).pdf
- 基于代價敏感的源代碼警告分類研究.pdf
- 軟件源代碼買賣合同
- 軟件源代碼授權(quán)使用協(xié)議
- emule源代碼分析
- fourinone源代碼分析
- 開放源代碼軟件項目的數(shù)據(jù)分析與研究.pdf
- 軟件著作權(quán)-源代碼范本
- 軟件漏洞源代碼的語義標注技術(shù)研究.pdf
- C-C++源代碼靜態(tài)檢測系統(tǒng)的設(shè)計和實現(xiàn).pdf
- OpenSSL握手源代碼分析.pdf
- android源代碼結(jié)構(gòu)分析
- 對軟件源代碼的商業(yè)秘密保護
- 基于開源代碼的移動應(yīng)用軟件演化研究.pdf
- 面向軍工應(yīng)用軟件的源代碼漏洞分析系統(tǒng)的研究與實現(xiàn).pdf
評論
0/150
提交評論