Stack Overflow的缺陷代码特征分析与相似缺陷检测

目前在软件代码缺陷审查以及缺陷预测中,研究人员对源代码进行分析研究却忽略了代码的缺陷信息.本文通过对缺陷信息进行分析,发现缺陷信息对于相似缺陷的检测有着重要的参考价值.基于这一思想,本文分析软件缺陷社区Stack Overflow中关于缺陷代码的信息,提出一种基于缺陷代码特征分析的相似缺陷检测方法.该方法首先对缺陷报告进行LDA主题分析并将缺陷报告分类到不同的主题(类别)中,统计得到高频缺陷类别;其次对于高频缺陷类别的缺陷代码提取特征;最后根据缺陷代码特征构建相似缺陷检测模型.为了验证相似缺陷检测模型的有效性,针对数据操作缺陷数据构建诊断模型并对该模型进行实证,实验结果表明该方法对检测其他代码中相似缺陷有较好的效果.

代码缺陷检测中被测模块开销预测方法

随着代码规模越来越大、代码文件越来越复杂,代码缺陷检测工具需要采用并行的方法进行调度。为了更好地使用并行的方法进行调度,提高缺陷检测效率和硬件资源利用率,提出一种代码缺陷检测中被测模块开销预测方法。该方法根据DTS(Defect Testing System)缺陷检测流程的特点提取出时间开销特征和空间开销特征,通过深度记忆网络提取出语义特征,将时间开销特征与语义特征进行融合得到融合特征,使用回归模型对融合特征进行时间开销的预测,对空间开销特征进行空间开销的预测。在8个开源C工程上的实验结果表明,该方法在开销预测方面有着较好的表现。

基于C语言在线编程代码缺陷检测分析

为了提高C语言编程缺陷的检出效率和准确率,研究过程基于深度学习技术,构建了由代码数据模块、代码预处理模块、特征提取模块等组成的在线检测算法模型。经过代码清洗、抽象语法树生成、抽象语法树拆分、模板匹配和相似度计算,检测出缺陷代码的类型和具体位置。经过测试,该检测算法能够检测出C语言代码中的绝大部分缺陷,准确率较高。

软件代码缺陷分类及其应用

分析现有软件缺陷分类方法,基于对航空型号软件实施代码审查的实际经验,提出较完善的代码缺陷分类,将其应用于某航空型号软件代码审查,发现的缺陷占全部测试所得的75%。给出可以覆盖该缺陷类型的新类型。检验结果表明,该代码缺陷分类可以有效指导代码审查。

代码缺陷与代码味道的自动探测与优化研究

为了实现代码缺陷与代码味道的自动探测与优化,提升优化与重构的效率,设计并开发了一套名为SCORT的源代码优化与重构工具。SCORT将源代码解析为抽象语法树,再探测其中存在的代码缺陷和代码味道,最后对缺陷和味道进行自动优化和重构。在SCORT中已经实现了对15种常见代码缺陷和六种常见代码味道的检测以及自动优化与重构,提供了多种代码味道的自动重构算法,且具有良好的可扩展性。通过对三个待测项目的探测和优化实验结果表明,对于常见代码缺陷的探测和优化,SCORT的精确率、召回率和准确率均可达100%;对于部分常见的代码味道,SCORT尚需进一步完善。SCORT有助于开发人员提高代码质量,减少源代码中存在的缺陷和味道。

代码缺陷模式的概念及形式化表示

针对代码缺陷研究中存在的缺陷产生场景不明确以及形式化程度较低等问题,基于模式的定义给出代码缺陷模式定义,以其核心三要素为基础,对代码缺陷模式形式化表示进行研究,采用基于扩展模式描述语言的形式化表示法,将直接场景和缺陷代码结构共同反映于同一概念下。实例验证了代码缺陷模式概念的合理性及其形式化表示法的有效性。

基于结构特征的二进制代码安全缺陷分析模型

针对现有方法检测复杂结构二进制代码安全缺陷的不足,提出新的分析模型,并给出其应用方法。首先以缺陷的源代码元素集合生成特征元素集合,抽取代码结构信息,构建分析模型。然后依据各类中间表示(IR,intermediate representation)语句的统计概率计算分析模型,查找满足特征模型的IR代码组,通过IR代码与二进制代码的转换关系,实现对二进制程序中代码安全缺陷的有效检测。分析模型可应用于二进制单线程程序和并行程序。实验结果表明,相对于现有方法,应用该分析模型能够更全面深入地检测出各类结构复杂的二进制代码安全缺陷,且准确率更高。

快速检测代码缺陷与安全漏洞的方法与实践

文中阐述了使用Klocwork Insight快速检测代码缺陷与安全漏洞的方法,大大提高了代码质量和测试效率,避免问题代码流入后续阶段。基于测试实践案例,提炼和详解测试中经常发现的代码缺陷与安全漏洞,给出正确修改方法。

基于工具的移动应用代码缺陷静态检测研究

现在各式各样的移动应用已经成为人们生活中不可缺少的元素,而发现移动应用代码缺陷是移动应用开发人员必须面对的重要且繁杂的工作。分析了移动应用代码特点、代码缺陷定义及常用检测方法,归纳了当前移动应用常用的原生开发模式、基于Web开发模式、以原生技术为主的混合开发模式、以Web前端技术为主的跨平台开发模式、Flutter跨平台开发模式等五种开发模式,提出针对这五种开发模式基于工具的代码缺陷静态检测方案。

嵌入式C代码释放后重用缺陷检测

C代码中的释放后重用缺陷严重影响着嵌入式系统的鲁棒性与可靠性。针对此类漏洞的现有检测方案多针对于计算机系统及应用程序,无法为复杂多样的嵌入式程序提供支持。静态代码分析可以在没有代码运行环境的前提下进行代码缺陷检测。因此,基于LLVM编译框架设计了静态污点追踪方案,实现了针对释放后重用缺陷代码特征的自动化检测。实验结果证明了该方法能够快速、准确地检测C代码释放后重用缺陷,并且能够在大规模的嵌入式C代码项目中应用。

CODAS:一个易扩展的静态代码缺陷分析服务

利用静态代码缺陷分析技术对软件进行早期缺陷检测,是提高软件质量的重要途径。静态代码缺陷分析工具(如FINDBUGS,JLINT,ESC/JAVA,PMD,COVERITY等)已经被证实可以成功地识别出大量的软件潜在缺陷[1-3]。然而,这类工具在可用性和有效性方面的不足严重限制了它们的进一步广泛使用。可用性不足包括a)每个独立缺陷检测工具只擅于检测特定类型的缺陷,需要配合使用才能全面检测缺陷;b)每个缺陷检测工具的安装、配置和运行占用了用户大量的时间、精力。有效性不足包括静态缺陷分析结果往往存在大量误报,并且会包括许多不重要的(不会引起程序员修复行为的)缺陷报告。为了解决上述问题,提出并构建了一个易扩展的"静态代码缺陷分析"服务(Code Defect Analysis Service,CODAS)。CODAS基于一个高度可扩展的架构设计,对多个独立的缺陷检测工具进行了封装和集成,并对缺陷检测报告进行了有效汇总和排序,从而充分发挥了各个独立工具的优势,大大提升了静态缺陷分析工具的可用性和有效性。

基于贝叶斯网的网站代码缺陷预测模型

软件缺陷预测正成为软件工程数据挖掘领域的一个研究热点,在分析软件质量、平衡软件成本方面起着重要的作用。但现有的缺陷预测模型泛化能力不足,且模型要求的部分输入数据难以度量。为能预测网站代码的缺陷,提出一种基于贝叶斯网的代码缺陷预测模型,模型用易度量的代码属性值输入,代码属性间的关联作为贝叶斯网结构,通过学习已有的经验数据来获得节点的先验概率。通过对同项目组开发的一些网站的预测,证明其有较好的效果。

源代码缺陷描述方法研究

软件源代码安全性缺陷排除是软件过程改进的一项重要措施。目前与源代码安全缺陷研究相关的组织有CWE等,业界也出现了一批优秀的源代码安全检测工具,但是这些机构和组织对源代码中缺陷的描述方法不一,没有统一的标准。本文借鉴业界对源代码缺陷的描述,结合实际工作需要,提出了一种计算机源代码缺陷的描述方法。

并发数据访问代码缺陷分析

现代软件系统中普遍使用并发任务提高软件的性能、增加算法实现的灵活性。数据的并发访问,如果没有进行恰当的同步,可能带来数据竞争、死锁和数据没有初始化等问题,程序的执行结果将依赖于并发任务执行的相对时序,给整个系统的正确性、安全性和可靠性带来严重的隐患。本文在深入分析涉及并发数据访问的实际工程代码的基础上,揭示了并发数据访问缺陷代码的本质特点,总结出了2大类4种代码缺陷模式,最后给出了实现并发数据访问代码缺陷静态分析工具的难点及需要解决的问题。

多策略软件代码缺陷检测方法研究

随着计算机软件技术的快速发展,由软件代码缺陷引起的安全问题也日趋严重。通过对静态分析技术以及静态检测工具的深入研究,针对当前静态检测工具误报率、漏报率较高的问题,提出一个多策略的软件代码缺陷检测方法。该方法平台一方面综合运用多种静态检测工具进行检测,对比单个检测工具降低误报率,扩大检测覆盖率;另一方面,对确定性不高的静态检测结果进一步进行动态检测,不但降低静态检测的误报率,而且还能发现静态检测技术检测不到的缺陷,降低漏报率。实验结果证明,多策略检测方法是一个有效的软件漏洞检测方法。

C语言代码缺陷分析辅助编程实践系统

网络课程C语言编程学习中,师生互动性差、教学效率低,学生难以凭借自身能力解决编程中常见的代码缺陷问题.为了更好帮助学生解决学习中的难题,辅助老师达到教学目的,研究一款代码缺陷检测辅助学生编程实践系统.该系统首先对易犯的代码缺陷分类,分析编译器不易检测的语法、词法和语义缺陷;然后构建智能分析器,集成多种检测工具,在系统中存储知识规则集合并扩展常见代码缺陷抽象模式;最后检测代码并给出错误报告和修改意见,通过配合学生模型辅助学生编程学习.实验结果表明:该系统能成功检测出常见代码缺陷并辅助学生编程实践.

基于路径聚类分析的代码缺陷定位研究

基于路径分析的代码缺陷定位所使用的方法通常分为两类:基于路径轨迹相似性分析的方法和基于路径元素信息统计的方法。通过理论分析以及实际环境中的应用,发现两类方法有以下不足:冗余路径的存在降低了整体定位效率;源代码一般包含了大量对定位没有意义的谓词和语句,对这些无意义元素的统计不仅耗时耗力,而且会影响定位效率和精度。因此,提出基于路径聚类分析的模糊聚类算法Pbtc。实验结果表明,该方法在一定程度上能够提高代码缺陷定位的效率和精度。

一种开源代码缺陷识别系统的实现

近年来,软件开发中使用开源软件的比例越来越高,开源代码引起的一系列软件安全问题不容忽视。安全开发管控最重要的手段就是对源代码进行静态分析,当前的源代码静态分析技术主要包括语法分析、语义分析、数据流分析及控制流分析等,此类静态分析技术主要是针对缺陷类型构建分析模型,并不考虑开源代码漏洞问题。通过从开放漏洞数据库中抽取所有可用的漏洞记录,并从开源项目所在开源代码库中收集易受攻击的代码建立开源缺陷代码库,挖掘代码缺陷库中的缺陷匹配信息,并通过应用实例证明这是一种有效的源代码安全漏洞挖掘技术,具有较高的缺陷搜索匹配速度和准确性。

基于深度学习的C语言代码缺陷定位方法实现研究

针对C语言程序代码提出了一种自动化的缺陷定位方法,研究过程中建立了完整的算法实现框架。对原始代码进行清洗后,利用语言解释器将清洗后的数据转化为抽象语法树,并按照子树对其进行拆分,再通过Word2vec模型进行词嵌入、生成词向量。借助递归神经网络编码词向量,由门控循环单元提取代码特征,形成正确代码的向量库。通过计算被测试代码与模板代码的特征向量相似度,判断缺陷代码所在的行位置。经实测,该算法在准确率、精度、召回率等方面表现优异。

基于C语言的在线编程代码缺陷检测系统研究

C语言程序代码设计中可能会出现词法缺陷、逻辑缺陷、语法缺陷,在传统模式下主要由程序开发人员根据电子集成驱动器(Integrated Drive Electronics,IDE)编程工具、GNU编译器套件(GNU Compiler Collection,GCC)编译结果检查代码中的错误。研究设计了一种可自动检测代码缺陷的综合管理系统,其核心组成部分为知识库和代码缺陷分析器。利用GCC、开源的代码检测软件、正则表达式匹配错误模式,出具评价报告,并向编程者推荐具有针对性的学习内容,以纠正其错误的编程知识和编程习惯。