[发明专利]一种静态检测安卓代码中的资源回收漏洞的方法和装置

说明书

本发明公开了一种静态检测安卓代码中的资源回收漏洞的方法和装置。其中所述方法包括：读取待检测的安卓应用的源代码到内存中；检测所述源代码中是否包含有创建占用资源的待回收对象的操作指令；如果有，进一步检测所述源代码中是否包含有与所述占用资源的待回收对象对应的资源回收指令；如果没有对应的资源回收指令，则确定所述源代码中存在资源回收漏洞。该技术方案不需要人工进行代码检索，准确率和效率都得到了大量提升，也减轻了开发人员的压力，提高了代码开发过程中的自动化程度。

技术领域

本发明涉及计算机技术领域，特别涉及一种静态检测安卓代码中的资源回收漏洞的方法和装置。

背景技术

在JAVA中，当没有对象引用指向原先分配给某个对象的内存时，该内存便成为垃圾。垃圾回收意味着程序不再需要的对象是无用信息，这些信息将被丢弃。然而，JAVA自身的垃圾回收机制只能回收无用对象的内存空间，对于数据库连接、磁盘IO流等物理类型资源无法释放，需要手动释放处理。如果开发者未在代码中使用对应的资源回收方法，这些资源就会一直占用，日积月累造成内存溢出，因此这种漏洞被称为资源回收漏洞。现有技术中对安卓代码中资源回收漏洞的排查只能通过人工方式进行代码检索，费时费力，效率低下。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的静态检测安卓代码中的资源回收漏洞的方法和装置。

依据本发明的一个方面，提供了一种静态检测安卓代码中的资源回收漏洞的方法，包括：

读取待检测的安卓应用的源代码到内存中；

检测所述源代码中是否包含有创建占用资源的待回收对象的操作指令；

如果有，进一步检测所述源代码中是否包含有与所述占用资源的待回收对象对应的资源回收指令；如果没有对应的资源回收指令，则确定所述源代码中存在资源回收漏洞。

可选地，所述读取待检测的安卓应用的源代码到内存中包括：

获取所述源代码的路径信息；

根据所述源代码的路径信息，以多线程方式读取该路径下的所有代码文件到内存中。

可选地，所述检测所述源代码中是否包含有创建占用资源的待回收对象的指令包括：

调用所述源代码的解析器解析所述源代码，得到所述源代码的抽象语法树；

对所述抽象语法树中的各节点进行分类，将类型相同的节点保存到对应的同一个节点集合中，得到类型不同的多个节点集合；

确定创建占用资源的待回收对象的指令的多个属性，根据该多个属性从所述多个节点集合中查找与创建占用资源的待回收对象的指令对应的节点；

检测该节点下是否包含有创建占用资源的待回收对象的操作指令。

可选地，所述确定待定位的指定内容的多个属性包括：

确定所述指定内容的分类属性；

以及确定所述指定内容的一个或多个其他属性。

可选地，所述根据该多个属性从所述多个节点集合中查找与所述指定内容对应的节点包括：

先根据所述指定内容的分类属性，确定与该分类属性对应的一个节点集合；

从所述其他属性中选择一个属性，从所确定的节点集合中查找出与该属性匹配的节点；

判断所述一个或多个其他属性中是否存在未被选择的属性，如果存在则从查找的节点中进一步选出与该属性匹配的节点，直到所述的其他属性均被选择过一次。

可选地，所述创建占用资源的待回收对象的操作指令为：数据库操作函数。