[发明专利]一种静态代码分析方法、装置、电子设备及存储介质

说明书

本申请实施例提供一种静态代码分析方法、装置、电子设备及存储介质，其中，该方法包括：获取源码文件和正则表达式；对所述源码文件进行解析，得到抽象语法树、三地址码；根据抽象语法树静态分析方法对所述抽象语法树进行静态分析，得到第一漏洞；根据三地址码静态分析方法对所述三地址码进行静态分析，得到第二漏洞；根据所述正则表达式和正则表达式静态分析方法对所述源码文件进行静态分析，得到第三漏洞；分别对所述第一漏洞、第二漏洞和第三漏洞进行AHP权重分析，得到第一权重、第二权重和第三权重；根据所述第一权重、所述第二权重和所述第三权重生成静态代码分析结果。实施本申请实施例，可以降低误报率，提高静态代码分析报告的质量。

技术领域

本申请涉及数据分析技术领域，具体而言，涉及一种静态代码分析方法、装置、电子设备及计算机存储介质。

背景技术

静态代码分析也称静态分析，是一种软件验证活动，不要求执行代码，而是通过分析源代码实现质量、可靠性和安全性目的。使用静态分析，可以识别可能危害到应用安全的缺陷和安全漏洞。静态分析不产生测试用例编写和代码检测配置的开销，因此可以较为经济地衡量和跟踪软件质量指标。

但是，现有技术的静态代码分析通常基于AST抽象语法树进行代码审计，缺点在于AST的语言强依赖性，这使得AST依赖于对应语言的种类，同时缺乏控制流信息。其他的方法，如基于正则表达式、IR的代码审计，误报率较高，判断过程中没有任何控制流信息和数据流信息的生成，因此，也存在较高的误报率。

发明内容

本申请实施例的目的在于提供一种静态代码分析方法、装置、电子设备及存储介质，可以降低误报率，使得分析结果更加精准，减少抽象语法树的对代码语言的依赖性，提高安全性能，提高静态代码分析报告的质量。

获取源码文件和正则表达式；

对所述源码文件进行解析，得到抽象语法树、三地址码；

根据抽象语法树静态分析方法对所述抽象语法树进行静态分析，得到第一漏洞；

根据三地址码静态分析方法对所述三地址码进行静态分析，得到第二漏洞；

根据所述正则表达式和正则表达式静态分析方法对所述源码文件进行静态分析，得到第三漏洞；

分别对所述第一漏洞、第二漏洞和第三漏洞进行AHP权重分析，得到第一权重、第二权重和第三权重；

根据所述第一权重、所述第二权重和所述第三权重生成静态代码分析结果。

在上述实现过程中，分别对抽象语法树、三地址码和正则表达式静态分析后得到其对应的漏洞，再根据漏洞进行权重分析，生成静态代码分析报告，可以降低误报率，使得分析结果更加精准，减少抽象语法树的对代码语言的依赖性，提高安全性能，提高静态代码分析报告的质量。

进一步地，所述分别对所述第一漏洞、第二漏洞和第三漏洞进行AHP权重分析，得到第一权重、第二权重和第三权重的步骤，包括：

获取权重参考指标，所述权重参考指标包括参数输入点、漏洞触发点和可达性；

根据所述权重参考指标分别对所述第一漏洞、所述第二漏洞和所述第三漏洞进行AHP权重分析，得到所述第一权重、所述第二权重和所述第三权重。

在上述实现过程中，对第一漏洞、第二漏洞和第三漏洞进行AHP权重分析，得到第一权重、第二权重和第三权重，可以减少得到权重过程中的误差，使得到的权重更加准确。

进一步地，所述根据所述权重参考指标分别对所述第一漏洞、所述第二漏洞和所述第三漏洞进行AHP权重分析，得到所述第一权重、所述第二权重和所述第三权重的步骤，包括：

分别对所述第一漏洞、所述第二漏洞和所述第三漏洞进行初始权重赋值，得到第一初始权重、第二初始权重和第三初始权重；