[发明专利]一种静态代码分析方法、装置、电子设备及存储介质

权利要求书

1.一种静态代码分析方法，其特征在于，所述方法包括：

获取源码文件和正则表达式；

对所述源码文件进行解析，得到抽象语法树、三地址码；

根据抽象语法树静态分析方法对所述抽象语法树进行静态分析，得到第一漏洞；

根据三地址码静态分析方法对所述三地址码进行静态分析，得到第二漏洞；

根据所述正则表达式和正则表达式静态分析方法对所述源码文件进行静态分析，得到第三漏洞；

分别对所述第一漏洞、第二漏洞和第三漏洞进行AHP权重分析，得到第一权重、第二权重和第三权重；

根据所述第一权重、所述第二权重和所述第三权重生成静态代码分析结果。

2.根据权利要求1所述的静态代码分析方法，其特征在于，所述分别对所述第一漏洞、第二漏洞和第三漏洞进行AHP权重分析，得到第一权重、第二权重和第三权重的步骤，包括：

获取权重参考指标，所述权重参考指标包括参数输入点、漏洞触发点和可达性；

根据所述权重参考指标分别对所述第一漏洞、所述第二漏洞和所述第三漏洞进行AHP权重分析，得到所述第一权重、所述第二权重和所述第三权重。

3.根据权利要求2所述的静态代码分析方法，其特征在于，所述根据所述权重参考指标分别对所述第一漏洞、所述第二漏洞和所述第三漏洞进行AHP权重分析，得到所述第一权重、所述第二权重和所述第三权重的步骤，包括：

分别对所述第一漏洞、所述第二漏洞和所述第三漏洞进行初始权重赋值，得到第一初始权重、第二初始权重和第三初始权重；

根据所述权重参考指标分别对所述第一初始权重、所述第二初始权重和所述第三初始权重进行AHP权重分析，得到所述第一权重，所述第二权重和所述第三权重，其中，所述第一权重包括第一参数输入点权重、第一漏洞触发点权重和第一可达性权重，所述第二权重包括第二参数输入点权重、第二漏洞触发点权重和第二可达性权重，所述第三权重包括第三参数输入点权重、第三漏洞触发点权重和第三可达性权重。

4.根据权利要求3所述的静态代码分析方法，其特征在于，所述根据所述第一权重、所述第二权重和所述第三权重生成静态代码分析结果的步骤，包括：

分别选取所述第一权重、所述第二权重和所述第三权重中的所述第一参数输入点权重、所述第二参数输入点权重和所述第三参数输入点权重中数值最高的作为参数输入点权重；

分别选取所述第一权重、所述第二权重和所述第三权重中的所述第一漏洞触发点权重、所述第二漏洞触发点权重和所述第三漏洞触发点权重中数值最高的作为漏洞触发点权重；

分别选取所述第一权重、所述第二权重和所述第三权重中的所述第一可达性权重、所述第二可达性权重和所述第三可达性权重中数值最高的作为可达性权重；

根据所述参数输入点权重、所述漏洞触发点权重和所述可达性权重生成所述静态代码分析结果。

5.根据权利要求4所述的静态代码分析方法，其特征在于，在所述根据所述第一权重、所述第二权重和所述第三权重生成静态代码分析结果的步骤之后，还包括：

根据所述抽象语法树获得节点信息；

根据所述三地址码获得控制流信息；

将所述控制流信息和所述节点信息存入数据库生成权重修改接口；

根据所述权重修改接口对所述参数输入点权重、所述漏洞触发点权重和所述可达性权重进行修改，得到误报率。

6.根据权利要求1所述的静态代码分析方法，其特征在于，所述获取源码文件的步骤，包括：

判断所述源码文件是否为Java文件；

若否，生成警告信息。