基于静态分析技术的源代码安全检测模型.pdfVIP

第25卷第9期 计算机应用研究 V01．25No．9 2008年9月 Researchof Sep．2008 Application Computem 基于静态分析技术的源代码安全检测模型 梁婕，张淼，徐国爱，杨义先 (北京邮电大学网络与交换技术国家重点实验室信息安全中心，北京100876) 摘要：介绍了当前主流的静态代码分析技术，在分析讨论其优缺点的基础上提出了一种新的静态代码检测模 型。该模型结合了当前成熟的静态分析技术。并借鉴了编译器中数据流和控制流分析的思想，获取上下文关联 的数据信息，从而更加准确地分析代码中存在的安全问题。 关键词：数据流分析；控制流分析；别名分析；静态代码分析；源代码 中图分类号：TP31l 文献标志码：A 文章编号：1001-3695(2008)09—2703—03 in code Newstatic modelsource analysis LIANG Yi-xian Jie，ZHANGMiao。XUGuo—ai。YANG (InformationSecurityCenter，StateKeyLaboratoryofNetwoing＆SwitchingTechnology，Beijing 100876，China) ijing introducedsomecurrentstatic methodsinsource their anddis- Abstract：Thispaper analysis code，aftercomparingadvantage modelof oncurrent newmodeldatainformationincon- anew static methods，the advantage，gave analysis．Basedanalysis gets text dataflow andcontrolflow whichareoftenreferredin therefore callbe securityproblems by analysis analysis compiler，and foundmore exactly． words：dataflow flow code Key analysis；controlanalysis；aliasanalysis；staticanalysis；soure 随着社会信息化的不断深入，人们不得不开始面对日益突 有限，并且只能检查某些特定类型的漏洞；BOON虽然引入了 出的信息安全问题。研究表明，相当数量的安全问题都是由于 上下文的信息，但是由于没有精确处理控制分支的信息，仅根 软件自身存着的安全漏洞引起的。软件漏洞的产生，一方面可 据数据流走向取并集，仍然存在一定程度的误报，且该方法针 能是设计人员在架构阶段没有明确用户对安全性方面的需求， 对缓冲区溢出和整数溢出，具有一定的局限性。 在设计上没有考虑安全性，开发人员使用有风险的库函数或引