[发明专利]一种基于缺陷分析的代码安全性评价方法

摘要

本发明提供了一种基于缺陷分析的代码安全性评价方法，包括步骤1获取代码缺陷WA的威胁程度DW；步骤2构建代码缺陷库；步骤3对代码进行量化分析；步骤4获取代码的安全性量值TA。与现有技术相比，本发明提供的一种基于缺陷分析的代码安全性评价方法，能够全面的从代码缺陷编写产生、编写预防以及代码环境系数EVA中的编写人员素质的结果来量化评估代码的安全性；提高了代码安全性评价的精确度从而提高代码的安全性以及增强应用系统的整体安全性。

主权项

一种基于缺陷分析的代码安全性评价方法，其特征在于，所述方法包括下述步骤：步骤1：获取代码缺陷WA的威胁程度DW；步骤2：构建代码缺陷库；步骤3：对代码进行量化分析，包括：步骤3‑1：获取严重风险类缺陷Critical的数量值CN、高风险类缺陷Hight的数量值HN、中风险类缺陷Medium的数量值MN和低风险类缺陷Low的数量值LN；步骤3‑2：通过所述威胁程度DW、人工影响指数PEA、所述数量值CN、所述数量值HN、所述数量值MN和所述数量值LN分别计算所述严重风险类缺陷Critical的威胁量化值TC、所述高风险类缺陷Hight的威胁量化值TH、所述中风险类缺陷Medium的威胁量化值TM和所述低风险类缺陷Low的威胁量化值TL；TC=αEXP{Σi=0CNDiPEAi/β};]]>TH=αEXP{Σi=0HNDiPEAi/β};]]>TM=αEXP{Σi=0MNDiPEAi/β};]]>其中α、β为影响威胁量化值总体趋势的系数；所述代码缺陷WA＝{A1,A2,...Ai...An}；所述威胁程度DW＝{D1,D2,...Di...Dn}；所述威胁程度DW与所述代码缺陷WA之间一一对应；依据所述威胁程度DW和人工影响指数PEA构建代码缺陷库；所述人工影响指数PEA为编程人员对所述代码缺陷采用的处理方式对所述威胁程度DW的影响值；所述人工影响指数PEA＝{PEA1，PEA2,...PEAi...PEAn}；所述人工影响指数PEA与所述代码缺陷WA之间一一对应；步骤4：获取所述代码的安全性量值TA，包括：步骤4‑1：获取编程人员影响系数PT；所述其中，所述WTi为编程人员的工作时间、所述WQi为编程人员的工作资质、所述B为编程人员总数；步骤4‑2：获取所述代码环境系数EVA；所述其中，所述ET为可执行代码行数、所述VT为有效代码行数、所述FT为Function函数的总数、所述CT为Class类的总数；步骤4‑3：通过所述威胁量化值TC、威胁量化值TH、威胁量化值TM、威胁量化值TL和代码环境系数EVA计算所述安全性量值