期刊文献+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息

基于XML的软件安全静态检测方法研究 被引量:8

Research on static analysis method for software security based on XML
下载PDF
导出
摘要 安全关键软件设计使用的C/C++语言含有大量未定义行为,使用不当可能产生重大安全隐患。软件静态检测是从软件代码和结构中找出安全缺陷的重要手段。从安全规则的角度,提出了基于XML(eXtensibleMarkupLanguage)中间模型的静态检测方法。该方法将C/C++源代码解释为XML中间模型,将安全规则转化为缺陷模式,利用Xquery查询表达式对软件安全缺陷进行定位。基于该方法的原型系统检验结果表明:该方法能够有效地检测出违反安全规则的软件缺陷,并具有安全规则可定制的特点。 Fatal security vulnerabilities are caused by undefined behaviors of C/C++ language used in Safety-Critical software design.Software static analysis is an important technique for identifying security vulnerabilities from software code and structure.The static analysis method based on XML intermediate model is proposed in term of safety rules.The source code is interpreted as XML intermediate model,while safety rules are translated into vulnerabilities pattern,and Xquery expression is used to locate security vulnerabilities by this method.The experimental result of a prototype system based on this method shows that this method can effectively detect the software vulnerabilities in violation of safety rules and has the advantage of supporting customization of safety rules.
作者 周宽久 郑红波 赖晓晨 刘春燕 迟宗正
机构地区 大连理工大学软件学院
出处 《计算机工程与应用》 CSCD 北大核心 2010年第28期64-69,共6页 Computer Engineering and Applications
基金 大连市信息产业局IT专项基金No.DL20080243~~
关键词 安全规则 静态分析 可扩展标记语言(XML) 缺陷模式 XQUERY safety rules static analysis eXtensible Markup Language(XML) vulnerabilities pattern Xquery
分类号 TP311 [自动化与计算机技术—计算机软件与理论]
  • 相关文献

参考文献13

  • 1de Almeida J R, Camargo J B.Best practices in code inspection for safety-critical software[J].IEEE Software, 2003,20 (3) : 56-63.
  • 2Hwang J G,Jo H J,Kim B H,et al.Development of automatic testing tool for software coding rules for railway signalling[C]// IEEE T&D Asia 2009.
  • 3MISRA(Motor Industry Software Reliability Association).MISRA-C coding standard[S].2004.
  • 4Viega J, Bloch J T, Kohno Y, et aI.ITS4: A static vulnerability scanner for C and C++ code[C]//Computer Security Applications, ACSAC2000, Annual Conference, Dec 2000 : 257-267.
  • 5Evans D, Larochelle D.Improving security using extensible light weight static analysis[J].IEEE Software,2002, 19( 1 ) :42-51.
  • 6Chess B,McGraw G.Static analysis for security[J].IEEE Security & Privacy,2004(6):32-35.
  • 7GJB5369-2005航天型号软件C语言安全子集[S].国防科学技术工业委员会,2005:1-44.
  • 8Chess B,West J.Secure programming with static analysis[M].[S. l.]:Addison Wesley Professional,2007.
  • 9Harbison S P,Steele G L Jr.C语言参考手册[M].徐波,译.5版.北京:机械工业出版社,2008:206-223.
  • 10Hovemeyer D.Pugh W.Finding bugs is easy[J].New York: ACM, 2004: 132-136.

共引文献2

同被引文献39

  • 1方凯彬,闫巍.移动互联网应用代码安全测试方法的使用[J].中国检验检疫,2013(11):31-32. 被引量:2
  • 2杜子德.程序控制流图:一种可观化的程序设计工具[J].计算机研究与发展,1995,32(12):15-20. 被引量:8
  • 3张威,卢庆龄,万琳,肖庆.空指针引用故障模型与测试方法研究[J].计算机工程与应用,2006,42(4):71-72. 被引量:5
  • 4黄海军,陈意云.用数据流分析方法检查程序信息流安全[J].小型微型计算机系统,2007,28(1):102-106. 被引量:7
  • 5SEN K, Agha G. CUTE: A concolic unit testing engine for C [C]. Proceedings of the 13th ACM SIGSOFT Symposium on Foundations of Software Engineering Held Jointly With 10th European Software Engineering Conference. Lisbon: ACM Press, 2005: 263-272.
  • 6Gulwani S, Srivastava S, Venkatesan R. Program analysis con- straint solving [C]. Proceedings of the SIGPLAN Conference on Programming Language Design and Implementation. Tuc- son, Arizona, 2008: 281-292.
  • 7Froihofer L, Glos G, Osrael J, et al. Overview and evaluation of constraint validation approaches in Java [C]. Minneapolis, MN, USA: Proceedings of the 29th International Conference on Software Engineering, 2007: 313-322.
  • 8Robert C.Coding Rules:Past,Present,and Future. inform IT . 2013
  • 9James W Moore,Robert C.Seacord.Secure Coding Standards. The Journal of Defense Software Engineering . 2007
  • 10(美) 塞克德 (Seacord,R.S.),著.C和C++安全编码(M)机械工业出版社, 2013

引证文献8

二级引证文献24

计算机工程与应用
2010年 第28期

相关作者

内容加载中请稍等...

相关机构

内容加载中请稍等...

相关主题

内容加载中请稍等...

浏览历史

内容加载中请稍等...
;
使用帮助 返回顶部