[发明专利]一种用于移动互联网应用的代码安全测试方法

权利要求书

1.一种用于移动互联网应用的代码安全测试方法，其特征在于：所述方法主要针对移动应用软件的代码安全需求，给出了代码解析模块、数据流分析模块、控制流分析模块、结构分析模块和安全分析模块等功能模块构成的测试系统，所述测试系统包括代码解析器(1)、代码分析引擎(2)、报告生成器(3)以及安全规则模块(4)、用户接口模块(5)组成，各模块主要功能如下：

所述代码解析器(1)与代码分析引擎(2)连接，是负责对源程序进行词法语法分析，并转换成中间表示，并根据后续分析模块的需要，生成特定的语法树结构；

所述代码分析引擎(2)包括数据流分析器(21)、控制流分析器(22)、结构分析器(23)、安全分析器(24)；

所述报告生成器(3)是对代码分析的结果进行分析并提交给用户，并生成相应的审核报告；

所述安全规则模块(4)负责为代码分析引擎(2)提供代码分析规则支持；

所述用户接口模块(5)负责与用户进行交互，一方面可以接受用户扫描源代码的请求，另一方面则将扫描分析的结果输出给用户。

2.按照权利要求1所述的一种用于移动互联网应用的代码安全测试方法，其特征在于：所述数据流分析器(21)是在代码解析的基础上，提取程序的数据流信息。

3.按照权利要求1所述的一种用于移动互联网应用的代码安全测试方法，其特征在于：所述控制流分析器(22)主要是在代码解析的基础上，提取程序的控制流信息，控制流分析器(22)根据规则，通过遍历AST(抽象语法树)，生成对应的程序控制依赖图，并向安全分析调度模块提供接口以读取信息。

4.按照权利要求1所述的一种用于移动互联网应用的代码安全测试方法，其特征在于：所述结构分析器(23)的目标是在代码分析引擎(2)提取出的语法树的基础上，根据安全规则模块(4)提供的代码分析规则，提取程序的主要结构。

5.按照权利要求1所述的一种用于移动互联网应用的代码安全测试方法，其特征在于：所述安全分析器(24)根据安全规则模块(4)提供的信息，调度结构分析器(23)进行安全性分析，并生成报告表，提供接口供报告生成器(3)调用。