基于静态检测工具的源代码安全缺陷检测研究倡.doc

第 28 卷第 8 期
2011 年 8 月

计算机应用研究
Application Research puters

Vol畅28 No畅8
基于静态检测工具的源代码安全
缺陷检测研究倡
李晓南, 范明钰, 王光卫
(电子科技大学计算机科学与工程学院信息安全系, 成都 611731 )
摘要: 针对已有的使用单个静态检测工具进行源代码安全缺陷检测存在的漏报率和误报率很高的问题,提出
了一种基于多种静态检测工具的检测方法。该方法通过对多种工具的检测结果进行统计分析,有效地降低了漏
报率和误报率。设计和实现了一个可扩展的源代码静态分析工具平台,并通过实验表明,相对于单个工具的检
测结果而言,该平台明显降低了漏报率和误报率。
关键词: 静态检测工具; 源代码; 安全缺陷; 统计分析
中图分类号: TP302畅1 文献标志码: A 文章编号: 1001 唱3695 (2011 ) 08 唱2997 唱02
doi: /. .2011 .08 .054
Research on source code safety defects
LI Xiao唱an, FAN Ming唱u, WANG Guang唱ei
( Information Security, School puter Science & Engineering, University of Electronic Science & Technology of China, Chengdu
611731 , China)
Abstract: To cope with the problem of high false negatives and false positives in source code static analysis methods with a
method made statistical analysis on the e of different static test tools, which greatly decreased the false nega唱
experiment that this platform has a better performance with lower false negatives and false pared with one single
Key words: static test tools; source code; safety defects; statistical analysis
0 引言
随着互联网应用的不断创新与发展,信息与网络安全也面
临着前所未有的严峻问题,网络安全领域所面临的挑战日益严
峻,网络安全问题也日益被人们重视。通常意义上的网络安全
的最大威胁是程序上的漏洞,程序漏洞检测主要分为运行时检
测和静态分析方法。运行时检测方法需要运行被测程序,其检
测依赖外部环境和测试用例,具有一定的不确定性。静态分析
方法主要对源代码进行分析,能避免上述不足。
从早期的基于字符串匹配、基于词法分析,到基于语义分
析,到将数据挖掘技术与程序分析相结合的方法,静态分