[发明专利]一种软件源代码缺陷自动修复方法及系统

说明书

本发明公开了一种软件源代码缺陷自动修复方法及系统，属于计算机程序漏洞修复技术领域。该方法包括：提取源代码的缺陷相关CPG子图；使用经过训练的缺陷修复模型基于CPG子图得到缺陷修复结果；其中，缺陷修复模型由一个图编码器、n个序列解码器和一个语法纠正解码器组成，n个序列解码器的输入端分别与图编码器的输出端连接，语法纠正解码器的输入端与n个序列解码器的输出端连接。本发明提出的源代码缺陷自动修复方法具备较高的自动化能力和修复准确度，能够保障软件开发阶段的源代码级别的安全性。

技术领域

本发明属于计算机程序漏洞修复技术领域，尤其涉及一种软件源代码缺陷自动修复方法及系统。

背景技术

由于漏洞对软件安全构成巨大威胁，软件漏洞保护一直是人们持续关注的安全问题。与源代码漏洞检测相关的工作逐渐成熟，实现了自动、高精度的漏洞检测能力。然而，为了解决漏洞问题，还需要对其进行修复。

传统的漏洞自动修复方法大多基于用户定义的规则模式，对于特定的漏洞类型可以获得更好的性能，但不适合扩展到其他漏洞模式。随着神经网络的发展，提出了对源代码缺陷进行自动修复的方法。神经网络通过学习成对样本（漏洞样本和修复样本）之间的语义相关信息，实现对漏洞样本进行相应修复的推理。

目前，基于seq2seq的漏洞自动修复学习方式比较流行，但其自动修复性能仍不理想，主要原因可能是源代码在语义层次上不同于简单的自然语言文本，seq2seq模型不具备深入理解源代码语义的能力。此外，还出现了利用graph2Seq模型的基于图的程序修复方法，但目前这种方法只能解决简单的程序修复问题，例如单行缺陷代码的修改，且生成的补丁语法问题较为严重，导致补丁质量较差。

发明内容

本发明的第1方面，提供了一种软件源代码缺陷自动修复方法，包括：提取源代码的缺陷相关CPG子图；使用经过训练的缺陷修复模型基于所述CPG子图得到缺陷修复结果；其中，所述缺陷修复模型由一个图编码器、n个序列解码器和一个语法纠正解码器组成，所述n个序列解码器的输入端分别与所述图编码器的输出端连接，所述语法纠正解码器的输入端与所述n个序列解码器的输出端连接；其中，n ≥ 2。

在一个实施例中，所述缺陷修复模型的训练数据包括：1）包含漏洞的源代码片段；2）修复代码；3）修复代码的行数；4）修复代码中包含的语法相关符号序列。

在一个实施例中，训练所述缺陷修复模型时，所述语法纠正解码器的输入包括所述训练数据的语法相关符号序列和所述序列解码器输出的修复代码序列。

在一个实施例中，所述图编码器采用GGNN网络，每个所述序列解码器均采用LSTM网络，所述语法纠正解码器采用LSTM网络。

在一个实施例中，所述提取源代码的缺陷相关CPG子图，包括：获取所述源代码的CPG；提取所述CPG中与缺陷相关的节点和边，以合成所述CPG子图。

在一个实施例中，所述提取源代码的缺陷相关CPG子图，还包括：将合成的所述CPG子图的每个节点中的漏洞特征转换为符号表示；以及将所述符号表示转换为向量表示。

在一个实施例中，将基于源代码的每个词转换得到的向量的值相加作为整个源代码的向量表示输入所述缺陷修复模型。

本发明的第2方面，提供了一种软件源代码缺陷自动修复系统，包括：子图提取模块，用于提取源代码的缺陷相关CPG子图；缺陷修复模块，使用经过训练的缺陷修复模型基于所述CPG子图得到缺陷修复结果；其中，所述缺陷修复模型由一个图编码器、n个序列解码器和一个语法纠正解码器组成，所述n个序列解码器的输入端分别与所述图编码器的输出端连接，所述语法纠正解码器的输入端与所述n个序列解码器的输出端连接；其中，n ≥ 2。

此外，本发明还提供了一种电子设备，包括：存储器，用于存储计算机程序；处理器，与所述存储器数据耦合，用于在执行所述计算机程序时，实现所述的软件源代码缺陷自动修复方法。