安全检查工具中ava前端的研究与构建.pdfVIP

摘要 本文讨论的软件安全检查工具支持C／C++和JaVa程序的安全漏洞检查。工具 由前端和后端两部分组成，采用C／C++和Java独立的前端和共用的后端策略，以 提高代码的可复用性和检查的精准性。 本文研究并实现了此特殊需求下JaVa前端的构建。首先讨论了主流的安全检 查工具的优缺点以及本文采用的软件安全检查工具的框架，在此基础上给出了 JaVa前端的整体设计，该设计包括预处理和中间表示生成两部分。其次讨论了基 1’ree 于JaVaCompilerAPI的预处理的关键技术，包括预处理结果文件的格式设计 和依据该格式进行的符号表和抽象语法树的信息的导出。同时探讨了基于ANTLR 生成中间表示的核心思想，即对已有符号表和抽象语法树进行扩展，并利用扩展 后的结果，通过在语法分析规则的产生式中添加语义动作和标号完成符号表的建 立和抽象语法树的生成。 本文最后提供了利用Java前端进行编程规范和文件相关的安全漏洞检查的 说明，并通过实例验证了文中安全漏洞检查方法的正确性。 关键词：预处理 符号表 抽象语法树 静态安全检查 Abstract intIlis is of tooldiscussed checking ThesoRware checking papercapable security a C／C++andJava is ofaf硒ntendand holesof composed securitV programs，、^，hich to forC／C++aIldJaVa endsaIldasharedbackend backend．ItusesindeDendent舶nt code reusability觚dinspectionaccuracy． improve endforthis need．Firstof andcon姗ctstheJaVa舶nt T11is studies special paper c眦ent toolsand relativemeritsofsome discussest11e secur时checl【ing all，thispaper on whole ofJaVaf-rontend relatedone．Based thefhmeworkofme t11is，me design dividedinto and ofintennediate ls whichis