[发明专利]代码自动审查系统及方法

说明书

本发明提供了一种代码自动审查系统及方法，该系统包括：脚本上传模块，用于在接收到上传请求后，接收开发人员新上传的脚本；运行新上传的脚本；参数设置模块，用于设置新上传的脚本对应的文件类型和问题类型；同问题类型脚本筛选模块，用于筛选出与新上传的脚本存在相同问题类型的脚本；同问题类型脚本执行模块，用于执行筛选出的存在相同问题类型的脚本，生成运行评估结果；同问题类型脚本执行结果分析模块，用于在运行评估结果显示未发现新上传的脚本存在问题时，将新上传的脚本的状态置为正常，否则，置为重复；脚本运行子系统，用于执行新上传的脚本涉及的程序。本发明可以基于开发人员视角对代码进行自动审查，准确性高，效率高。

技术领域

本发明涉及计算机代码自动化审查技术领域，尤其涉及一种代码自动审查系统及方法。

背景技术

目前市场上通用的静态代码分析工具，其发现问题的能力主要集中在技术型的安全问题，或者部分容易用错的函数参数。而银行系统因为涉及账务，对于生产问题的要求非常严格，日常的人工代码检查工作的工作量非常重。需要一款能尽可能能帮助到开发人员的，静态代码分析系统。

目前较多的产品集中在：

第一种，如MicroFocus的Fortify专注于代码库中的安全漏洞，于流行的CI/CD工具轻松集成。他们重点关注已知的安全漏洞以及可能存在问题的恶意软件或损害文件的存在。这款工具对于银行最具有威胁的越权安全漏洞，目前的发现能力还存在不足。同时不具备业务生产问题的静态代码分析能力。

第二种，部分可以自己配置代码审计规则的代码分析工具，虽然能让用户自己配置代码审计规则，可仅仅依靠管理员的模式，导致的一个后果就是，最熟悉代码规律跟规则的开发人员，参与度不够。比较常见的情况是，因为经常因为误报率较高，浪费开发人员分析时间，引起开发人员的投诉。

第三种，目前还存在一些通过人工智能技术进行代码分析的技术，因为目前人工智能技术的局限性，还做不到如同人工代码检查的效果。

以上这些产品与银行应用需求的矛盾集中在：不能满足业务生产问题的分析能力，不能满足特定场景下安全问题分析发现的能力，未充分利用开发人员对于自己的应用是最熟悉的这个特性简化各种业务问题发现的能力。

发明内容

本发明实施例提出一种代码自动审查系统，用以基于开发人员视角对代码进行自动审查，准确性高，效率高，该系统包括：

用户登录平台子系统、脚本评估子系统和脚本运行子系统，其中，

用户登录平台子系统包括脚本上传模块、参数设置模块，其中，

脚本上传模块，用于在接收到上传请求后，接收开发人员新上传的脚本并存入数据库；运行新上传的脚本，在运行结果为脚本正常时，向脚本评估子系统发送脚本更新通知；

参数设置模块，用于设置新上传的脚本对应的文件类型和问题类型；

脚本评估子系统包括同问题类型脚本筛选模块、同问题类型脚本执行模块和同问题类型脚本执行结果分析模块，其中，

同问题类型脚本筛选模块，用于在接到脚本更新通知时，查找数据库，筛选出与新上传的脚本存在相同问题类型的脚本；

同问题类型脚本执行模块，用于执行筛选出的存在相同问题类型的脚本，生成运行评估结果存入数据库；

同问题类型脚本执行结果分析模块，用于在运行评估结果显示未发现新上传的脚本存在问题时，将新上传的脚本的状态置为正常，否则，将新上传的脚本的状态置为重复；向脚本运行子系统发送正常脚本更新通知；

脚本运行子系统，用于在接收到正常脚本更新通知后，执行新上传的脚本涉及的程序。

本发明实施例提出一种代码自动审查方法，用以基于开发人员视角对代码进行自动审查，准确性高，效率高，该方法包括：