[发明专利]一种基于规则库的编译期代码安全检测方法

摘要

本发明实现了一种基于规则库的编译期代码安全检测方法，具体包括以下内容：将安全漏洞用规则库符号表示，对源代码进行预处理、词法分析、语法分析，由语法分析的结果构建出抽象语法树(Abstract Syntax Tree,AST)，遍历AST节点得到所需的信息，将所得信息交付于规则库处理对比，对于错误的代码进行标记及提示，记录编译期的信息及错误成立条件，为后面的动态测试提供辅助信息。本发明采用了静态分析与辅助动态分析相结合的方法，在编译期分析阶段，及时对不安全代码进行高覆盖率检测，并且利用冗余消除技术手段降低检测开销，在辅助动态分析阶段，利用编译期的信息进一步消除漏洞。结合以上两种手段，本发明能够以一种高覆盖率、高准确率、低开销的方式进行检测。

主权项

1.一种基于规则库的编译期代码安全检测方法，其特征在于，包括以下步骤：（1）将安全漏洞用规则库符号表示；（2）对源代码进行预处理、词法分析以及语法分析，根据语法分析的结果构建出没有语法错误的抽象语法树AST；（3）利用编译器框架的接口，借助步骤（2）的信息，对AST的节点（node）进行遍历，收集需要检测的安全漏洞的相关信息；（4）若步骤（3）没有收集到足够的信息，转到步骤（5）；否则将步骤（3）收集的信息交给规则库进行对比分析，得出相应的结果信息，对存在安全漏洞的程序代码进行标记，并且给出错误提示信息；流程结束；（5）对于不能在编译期解决的问题，输出该安全漏洞成立时的条件，辅助之后的动态测试；所述步骤（3）包括如下子步骤：（3‑1）对于缓冲区溢出，其规则符号表示为buf[i]（i<0||i>bufsize），buf是一个缓冲区数组，i为缓冲区索引的位置，bufsize为缓冲区大小即数组大小，当索引位置超过数组大小时或者索引位置小于0时，即为缓冲区溢出，获取索引位置i以及缓冲区大小bufsize；（3‑2）通过AST节点信息，找到将数组地址赋给指针的语句，将隐式指针数组操作转换为显式的数组索引操作；（3‑3）获取索引位置i转换为获取循环边界，即将寻找数组索引位置转化为寻找循环边界的次数；（3‑4）分别回溯语法树AST的节点定义处，找出对应的索引位置信息和缓冲区大小信息。