一种开源代码缺陷识别系统的实现 被引量：1

1

作者 张勇 张合磊 赵平 《信息安全与通信保密》 2023年第7期70-82,共13页

近年来,软件开发中使用开源软件的比例越来越高,开源代码引起的一系列软件安全问题不容忽视。安全开发管控最重要的手段就是对源代码进行静态分析,当前的源代码静态分析技术主要包括语法分析、语义分析、数据流分析及控制流分析等,此类... 近年来,软件开发中使用开源软件的比例越来越高,开源代码引起的一系列软件安全问题不容忽视。安全开发管控最重要的手段就是对源代码进行静态分析,当前的源代码静态分析技术主要包括语法分析、语义分析、数据流分析及控制流分析等,此类静态分析技术主要是针对缺陷类型构建分析模型,并不考虑开源代码漏洞问题。通过从开放漏洞数据库中抽取所有可用的漏洞记录,并从开源项目所在开源代码库中收集易受攻击的代码建立开源缺陷代码库,挖掘代码缺陷库中的缺陷匹配信息,并通过应用实例证明这是一种有效的源代码安全漏洞挖掘技术,具有较高的缺陷搜索匹配速度和准确性。 展开更多

关键词 开源代码 漏洞 源代码静态分析 代码缺陷

下载PDF 职称材料

C语言代码缺陷分析辅助编程实践系统 被引量：3

2

作者 邱晓红 杨瑞安 +1 位作者 敖紫迎 陈佳丽 《计算机系统应用》 2022年第3期95-102,共8页

网络课程C语言编程学习中,师生互动性差、教学效率低,学生难以凭借自身能力解决编程中常见的代码缺陷问题.为了更好帮助学生解决学习中的难题,辅助老师达到教学目的,研究一款代码缺陷检测辅助学生编程实践系统.该系统首先对易犯的代码... 网络课程C语言编程学习中,师生互动性差、教学效率低,学生难以凭借自身能力解决编程中常见的代码缺陷问题.为了更好帮助学生解决学习中的难题,辅助老师达到教学目的,研究一款代码缺陷检测辅助学生编程实践系统.该系统首先对易犯的代码缺陷分类,分析编译器不易检测的语法、词法和语义缺陷;然后构建智能分析器,集成多种检测工具,在系统中存储知识规则集合并扩展常见代码缺陷抽象模式;最后检测代码并给出错误报告和修改意见,通过配合学生模型辅助学生编程学习.实验结果表明:该系统能成功检测出常见代码缺陷并辅助学生编程实践. 展开更多

关键词 实践教学 代码缺陷 学生模型 教学改革 编程学习

下载PDF 职称材料

并发数据访问代码缺陷分析 被引量：2

3

作者 王鑫 《航天控制》 CSCD 北大核心 2011年第2期84-88,92,共6页

现代软件系统中普遍使用并发任务提高软件的性能、增加算法实现的灵活性。数据的并发访问,如果没有进行恰当的同步,可能带来数据竞争、死锁和数据没有初始化等问题,程序的执行结果将依赖于并发任务执行的相对时序,给整个系统的正确性、... 现代软件系统中普遍使用并发任务提高软件的性能、增加算法实现的灵活性。数据的并发访问,如果没有进行恰当的同步,可能带来数据竞争、死锁和数据没有初始化等问题,程序的执行结果将依赖于并发任务执行的相对时序,给整个系统的正确性、安全性和可靠性带来严重的隐患。本文在深入分析涉及并发数据访问的实际工程代码的基础上,揭示了并发数据访问缺陷代码的本质特点,总结出了2大类4种代码缺陷模式,最后给出了实现并发数据访问代码缺陷静态分析工具的难点及需要解决的问题。 展开更多

关键词 并发 静态分析 代码缺陷 数据竞争

下载PDF 职称材料

代码缺陷检测中被测模块开销预测方法

4

作者 严咏豪 白汉利 +1 位作者 金大海 王雅文 《计算机应用与软件》 北大核心 2024年第8期9-16,35,共9页

随着代码规模越来越大、代码文件越来越复杂,代码缺陷检测工具需要采用并行的方法进行调度。为了更好地使用并行的方法进行调度,提高缺陷检测效率和硬件资源利用率,提出一种代码缺陷检测中被测模块开销预测方法。该方法根据DTS(Defect T... 随着代码规模越来越大、代码文件越来越复杂,代码缺陷检测工具需要采用并行的方法进行调度。为了更好地使用并行的方法进行调度,提高缺陷检测效率和硬件资源利用率,提出一种代码缺陷检测中被测模块开销预测方法。该方法根据DTS(Defect Testing System)缺陷检测流程的特点提取出时间开销特征和空间开销特征,通过深度记忆网络提取出语义特征,将时间开销特征与语义特征进行融合得到融合特征,使用回归模型对融合特征进行时间开销的预测,对空间开销特征进行空间开销的预测。在8个开源C工程上的实验结果表明,该方法在开销预测方面有着较好的表现。 展开更多

关键词 代码缺陷检测 特征提取 深度记忆网络 开销预测

下载PDF 职称材料

基于动态切片与预训练模型的代码漏洞检测

5

作者 嵇友晴 卢跃 +2 位作者 潘世文 张迎周 谢金言 《小型微型计算机系统》 CSCD 北大核心 2024年第6期1529-1536,共8页

当前大部分基于深度学习的漏洞检测模型,通常以整个文件或函数作为输入,检测粒度较粗,存在准确率低下、可扩展性差等挑战.为了应对这些挑战并提升漏洞检测技术的性能,同时针对静态切片方法在发现特定执行条件下的漏洞存在不足的问题,提... 当前大部分基于深度学习的漏洞检测模型,通常以整个文件或函数作为输入,检测粒度较粗,存在准确率低下、可扩展性差等挑战.为了应对这些挑战并提升漏洞检测技术的性能,同时针对静态切片方法在发现特定执行条件下的漏洞存在不足的问题,提出了一种基于动态切片与预训练模型的代码漏洞检测方法.通过动态切片获取包含路径特征的语句块,借助CodeBERT预训练模型的语义提取能力将具有语义特征和路径特征的动态切片结果表示成二维张量;将代码结构和语义特征编码成灰度图像中的像素值,借助Swin Transformer的特征提取能力,以此更准确地进行漏洞检测.实验数据表明本文的方法取得了较好的效果,可降低误报率和漏报率,同时提高漏洞检测的准确性和可靠性. 展开更多

关键词 代码缺陷检测 动态切片 预训练模型 Swin Transformer

下载PDF 职称材料

CODAS:一个易扩展的静态代码缺陷分析服务 被引量：3

6

作者 梁广泰 王千祥 《计算机科学》 CSCD 北大核心 2012年第1期14-18,64,共6页

利用静态代码缺陷分析技术对软件进行早期缺陷检测,是提高软件质量的重要途径。静态代码缺陷分析工具(如FINDBUGS,JLINT,ESC/JAVA,PMD,COVERITY等)已经被证实可以成功地识别出大量的软件潜在缺陷[1-3]。然而,这类工具在可用性和有效性... 利用静态代码缺陷分析技术对软件进行早期缺陷检测,是提高软件质量的重要途径。静态代码缺陷分析工具(如FINDBUGS,JLINT,ESC/JAVA,PMD,COVERITY等)已经被证实可以成功地识别出大量的软件潜在缺陷[1-3]。然而,这类工具在可用性和有效性方面的不足严重限制了它们的进一步广泛使用。可用性不足包括a)每个独立缺陷检测工具只擅于检测特定类型的缺陷,需要配合使用才能全面检测缺陷;b)每个缺陷检测工具的安装、配置和运行占用了用户大量的时间、精力。有效性不足包括静态缺陷分析结果往往存在大量误报,并且会包括许多不重要的(不会引起程序员修复行为的)缺陷报告。为了解决上述问题,提出并构建了一个易扩展的"静态代码缺陷分析"服务(Code Defect Analysis Service,CODAS)。CODAS基于一个高度可扩展的架构设计,对多个独立的缺陷检测工具进行了封装和集成,并对缺陷检测报告进行了有效汇总和排序,从而充分发挥了各个独立工具的优势,大大提升了静态缺陷分析工具的可用性和有效性。 展开更多

关键词 静态分析 代码缺陷分析 易扩展 服务

下载PDF 职称材料

基于C语言的在线编程代码缺陷检测系统研究 被引量：1

7

作者 陈海云 《信息与电脑》 2023年第2期130-133,共4页

C语言程序代码设计中可能会出现词法缺陷、逻辑缺陷、语法缺陷,在传统模式下主要由程序开发人员根据电子集成驱动器(Integrated Drive Electronics,IDE)编程工具、GNU编译器套件(GNU Compiler Collection,GCC)编译结果检查代码中的错误... C语言程序代码设计中可能会出现词法缺陷、逻辑缺陷、语法缺陷,在传统模式下主要由程序开发人员根据电子集成驱动器(Integrated Drive Electronics,IDE)编程工具、GNU编译器套件(GNU Compiler Collection,GCC)编译结果检查代码中的错误。研究设计了一种可自动检测代码缺陷的综合管理系统,其核心组成部分为知识库和代码缺陷分析器。利用GCC、开源的代码检测软件、正则表达式匹配错误模式,出具评价报告,并向编程者推荐具有针对性的学习内容,以纠正其错误的编程知识和编程习惯。 展开更多

关键词 C语言 在线编程 代码缺陷检测

下载PDF 职称材料

一种软件代码缺陷管理方案研究

8

作者 王磊 曾成修 +1 位作者 符为 谢磊 《软件导刊》 2021年第7期107-110,共4页

软件缺陷管理是软件工程的重要内容。目前,基于GJB/Z 141的软件缺陷分类标准和定制的缺陷管理工具是较为常用的一种典型软件代码缺陷管理方案,该方案在工程应用中存在有效性和效率不足问题。针对上述问题从缺陷分类方法和缺陷管理工具... 软件缺陷管理是软件工程的重要内容。目前,基于GJB/Z 141的软件缺陷分类标准和定制的缺陷管理工具是较为常用的一种典型软件代码缺陷管理方案,该方案在工程应用中存在有效性和效率不足问题。针对上述问题从缺陷分类方法和缺陷管理工具两方面展开研究,提出一种全新的软件代码缺陷管理方案并构建原型系统。将两种缺陷管理方案在同一软件配置项中进行代码缺陷管理应用,将使用效果进行比较,发现该方案的评价指标在5个方面有显著改善,评价得分分别提高了68%、50%、125%、33%和60%。 展开更多

关键词 软件工程 缺陷分类 缺陷管理工具 原型系统 软件代码缺陷管理

下载PDF 职称材料

源代码缺陷检测数据生成及标注方法

9

作者 管志斌 王晓萌 +1 位作者 辛伟 王嘉捷 《清华大学学报（自然科学版）》 EI CAS CSCD 北大核心 2021年第11期1240-1245,共6页

在已有的基于深度学习的源代码缺陷检测方法中,所使用的训练数据和测试数据大多来源于仅供学术研究的测试源码,无法为深度学习模型的训练提供足够的数据支撑。因此,该文提出了一种源代码缺陷检测数据生成及标注方法。该方法在提取源代... 在已有的基于深度学习的源代码缺陷检测方法中,所使用的训练数据和测试数据大多来源于仅供学术研究的测试源码,无法为深度学习模型的训练提供足够的数据支撑。因此,该文提出了一种源代码缺陷检测数据生成及标注方法。该方法在提取源代码控制流关系的基础上,应用已训练的深度学习模型和商业工具来完成源代码切片数据的标注。使用公开数据集SARD、NVD及开源软件Ffmpeg等进行验证,结果表明通过该方法能够生成直接用于深度学习的源代码缺陷检测数据集,为基于深度学习的源代码缺陷检测方法提供了数据支撑。 展开更多

关键词 源代码缺陷检测 控制流 数据生成 样本标注 深度学习

原文传递

基于贝叶斯网的网站代码缺陷预测模型

10

作者 朱朝阳 陈相舟 单勇 《计算机与网络》 2017年第19期62-64,共3页

软件缺陷预测正成为软件工程数据挖掘领域的一个研究热点,在分析软件质量、平衡软件成本方面起着重要的作用。但现有的缺陷预测模型泛化能力不足,且模型要求的部分输入数据难以度量。为能预测网站代码的缺陷,提出一种基于贝叶斯网的代... 软件缺陷预测正成为软件工程数据挖掘领域的一个研究热点,在分析软件质量、平衡软件成本方面起着重要的作用。但现有的缺陷预测模型泛化能力不足,且模型要求的部分输入数据难以度量。为能预测网站代码的缺陷,提出一种基于贝叶斯网的代码缺陷预测模型,模型用易度量的代码属性值输入,代码属性间的关联作为贝叶斯网结构,通过学习已有的经验数据来获得节点的先验概率。通过对同项目组开发的一些网站的预测,证明其有较好的效果。 展开更多

关键词 贝叶斯网 软件度量 代码缺陷

下载PDF 职称材料

关于GB50205—2001焊缝探伤探讨 被引量：3

11

作者 杨晓东 刘北 +1 位作者 尚建丽 李杰 《建筑技术》 北大核心 2008年第5期390-392,共3页

GB50205—2001《钢结构工程施工质量验收规范》经过几年的实践应用,在焊缝无损检测方面尚存在一些不足:标准规定需要做无损检测的焊缝种类不全面;建筑钢结构焊接超声波探伤标准借用或沿用相关锅炉压力容器探伤标准,经试验验证,超声波探... GB50205—2001《钢结构工程施工质量验收规范》经过几年的实践应用,在焊缝无损检测方面尚存在一些不足:标准规定需要做无损检测的焊缝种类不全面;建筑钢结构焊接超声波探伤标准借用或沿用相关锅炉压力容器探伤标准,经试验验证,超声波探伤采用的评定标准与建筑钢结构受力特点不完全匹配,对于建筑焊接检验可能会产生非严即松的现象;标准中个别条款用于施工检验执行困难。现阶段我国尚缺较合理的专业建筑钢结构探伤标准,对钢结构焊缝探伤检验评定产生某些困难。 展开更多

关键词 钢结构 探伤标准 焊缝无损检验

下载PDF 职称材料

基于动态符号执行技术的代码安全检测模型研究

12

作者 陈莉娟 喻金龙 《电力信息与通信技术》 2019年第1期127-132,共6页

为了更高效地进行代码安全检测,文章基于动态符号执行技术,针对其存在的执行路径空间爆炸、高效约束求解开销以及程序设计语言兼容性这3个不足进行优化,并在此基础上提出了一种基于优化搜索策略动态符号执行的代码安全检测模型。该模型... 为了更高效地进行代码安全检测,文章基于动态符号执行技术,针对其存在的执行路径空间爆炸、高效约束求解开销以及程序设计语言兼容性这3个不足进行优化,并在此基础上提出了一种基于优化搜索策略动态符号执行的代码安全检测模型。该模型结合了当前主流的代码安全检测技术,提出了一种新型的安全缺陷分类方法,并优化了路径搜索策略,从而可以更加准确、高效地检测出代码中存在的安全问题。 展开更多

关键词 动态符号执行 代码安全缺陷分类 路径搜索 路径约束求解 代码安全检测

下载PDF 职称材料