基于学习的源代码漏洞检测研究与进展

源代码漏洞自动检测是源代码漏洞修复的前提和基础,对于保障软件安全具有重要意义.传统的方法通常是基于安全专家人工制定的规则检测漏洞,但是人工制定规则的难度较大,且可检测的漏洞类型依赖于安全专家预定义的规则.近年来,人工智能技术的快速发展为实现基于学习的源代码漏洞自动检测提供了机遇.基于学习的漏洞检测方法是指使用基于机器学习或深度学习技术来进行漏洞检测的方法,其中基于深度学习的漏洞检测方法由于能够自动提取代码中漏洞相关的语法和语义特征,避免特征工程,在漏洞检测领域表现出了巨大的潜力,并成为近年来的研究热点.本文主要回顾和总结了现有的基于学习的源代码漏洞检测技术,对其研究和进展进行了系统的分析和综述,重点对漏洞数据挖掘与数据集构建、面向漏洞检测任务的程序表示方法、基于机器学习和深度学习的源代码漏洞检测方法、源代码漏洞检测的可解释方法、细粒度的源代码漏洞检测方法等五个方面的研究工作进行了系统的分析和总结.在此基础上,给出了一种结合层次化语义感知、多粒度漏洞分类和辅助漏洞理解的漏洞检测参考框架.最后对基于学习的源代码漏洞检测技术的未来研究方向进行了展望.

基于词汇的源代码克隆检测技术综述

代码克隆指在软件开发过程中对源代码复用、修改、重构产生的文本相似或结构相似的代码。代码克隆对提升软件开发效率、节约开发成本有积极作用,但也会引起Bug传播,并对软件的稳定性、可维护性产生负面影响。代码克隆检测在剽窃检测、漏洞检测、版权侵权等领域具有重要的研究意义和应用价值。基于词汇的克隆检测技术能快速检测1-3型克隆,能扩展到其他编程语言,已被广泛应用于大规模克隆检测任务中。文中对近5年基于词汇的克隆检测技术的研究现状进行了梳理,根据相似性算法中的基本计算粒度将其分为4类,并对10余个技术特征进行了分析和总结,讨论其局限性及面临的挑战,最后结合新技术的发展提出了基于词汇的克隆检测技术未来可能的研究方向。

基于预训练Transformer语言模型的源代码剽窃检测研究

为解决源代码剽窃检测的问题,以及针对现有方法需要大量训练数据且受限于特定语言的不足,提出了一种基于预训练Transformer语言模型的源代码剽窃检测方法,其结合了词嵌入,相似度计算和分类模型。该方法支持多种编程语言,不需要任何标记为剽窃的训练样本,即可达到较好的检测性能。实验结果表明,该方法在多个公开数据集上取得了先进的检测效果,F1值接近。同时,对特定的能获取到较少标记为剽窃训练样本的场景,还提出了一种结合有监督学习分类模型的方法,进一步提升了检测效果。该方法能广泛应用于缺乏训练数据、计算资源有限以及语言多样的源代码剽窃检测场景。

铁路应用系统源代码安全检测方案研究

针对铁路应用系统源代码工具检测中普遍存在的安全缺陷误报率与漏报率偏高等问题,提出一种基于自动化工具检测和人工检测相结合的铁路应用系统源代码安全检测方案。文章详细阐述了铁路应用系统源代码安全检测的流程,采用自动化检测工具从代码结构、词法、数据流、控制流和安全规则匹配等多维度对源代码进行检测,并引入人工检测机制,利用关键字检测和业务逻辑检测等方法,对自动化检查结果进行补充分析,实现了对铁路应用系统源代码安全缺陷的高效、精确识别。实验结果表明,该方案能够显著提升铁路应用系统源代码的安全检测质量与效率,为铁路应用系统的安全防护提供技术支撑。

一种使用ChatGPT的源代码安全漏洞检测方法

随着软件及信息系统的安全问题越来越突出,作为重要组成部分,源代码的安全是最底层的关键点,如何快速准确地对源代码进行安全漏洞检测显得尤为重要。本文提出一种基于ChatGPT的源代码安全漏洞检测方法,利用ChatGPT在自然语言处理领域的优势,将源代码转换为自然语言形式,然后利用ChatGPT对其进行处理,识别潜在的安全漏洞。该方法可以检测出多种类型的安全漏洞,如不安全的设计、SQL注入等。通过在公开数据集的源代码上进行安全漏洞检测的实验分析,验证了该方法的优越性和准确性。

针对混合输入的源代码分类技术

源代码分类是源代码共享、数据泄露防护和数据安全治理等领域实现代码类资产安全保护的关键基础之一。统计分析、机器学习和深度学习等方法被广泛应用于源代码分类技术,提高了源代码识别分类的准确性。但是,这些技术通常要求输入完整的源代码文件或纯代码片段,当输入数据中混入json、xml、字符乱码或中英文语句等非代码文件时,源代码识别分类的准确率明显下降。为此,提出了一种基于自然语言处理的代码特征提取方法,同时改进了模型输出,在输出结果中加入各类代码和非代码占比信息。该方法通过对逻辑回归模型调优,在代码、非代码或二者混合输入的情况下,对20类编程语言和非代码语言分类的准确率达到98.8%,解决了混合输入情况下代码分类准确率低的问题。

基于CI/CD的源代码版本管控方法研究与应用

随着数字化转型的深入推进,信息系统项目的业主方管理系统数量越来越多,但对信息系统项目的源代码缺乏有效管理。研究基于CI/CD软件开发实践,提出了源代码版本管控方法,搭建了源代码版本管控系统,并将其应用于信息系统项目的源代码管控中。

基于微服务架构的源代码安全检测技术研究

近年来,随着各种新技术新理念在各行各业的广泛应用,各类软件安全问题也正在影响软件的使用。尤其在金融领域,软件安全不仅关系到客户的个人信息安全,而且还直接影响到人身和财产安全。源代码是软件的根本,对软件的源代码安全检测是保证软件安全最有效的措施之一。只有源代码中的安全缺陷尽早在开发生命周期中消除,应用安全风险才能得到更好的控制,从而最终的软件产品具备更好的安全性。文章结合源代码安全测试工具对软件安全测试开展研究,基于微服务架构自主研发源代码安全检测平台,提供了一个方便、直观、易用的软件安全检测平台。

融合RNN深度学习技术的计算机程序源代码缺陷检测方法

本文旨在提升软件质量与可靠性。为了达到此目的,实验采取如下步骤。首先进行数据预处理,包括源代码收集、标记、向量化和序列划分。其次,构建循环神经网络(Recurrent Neural Network,RNN)模型,定义模型架构、损失函数和优化器。然后,进行模型训练,并在验证集上评估模型性能。最后,加载模型并对新的源代码进行缺陷预测。实验结果表明,融合RNN深度学习技术的计算机程序源代码缺陷检测方法具有良好的性能。

软件源代码强制披露制度建构的中国方案

源代码披露比算法公开更深地干涉软件权利人的知识产权,其制度构建面临来自源代码的知识产权保护理论、软件行业惯例和国际条约的直接阻力。为消除阻力,我国源代码强制披露制度的建构可以借鉴数字贸易谈判的初步成果,以封闭保护为原则,强制披露为例外,以“场景公正”为指导,贯彻合法行政和比例原则,根据具体场景之下源代码的拥有者、使用目的和规制目标等因素,确定源代码披露的程度大小,并提供相应的救济程序。我国应以国内制度建构为基础,尽快在数字贸易谈判中提出自己的源代码规则,明确缔约国原则上不得以市场准入为条件强制要求披露源代码,同时充分吸收各类合理的例外场景以确保国家对源代码的正当规制,为软件产业的国内运营和出海竞争谋求更公平的市场营商环境。

开源软件开发者和源代码协调性的网络建设分析

在开源软件开发中,一般以自愿参加和开放服务为基本原则,由此吸引了更多的软件开发者加入其中。但开源社区合作协调管理是一个相对棘手的问题。对此,本文探究了开源软件开发者和源代码协调性的网络建设,分析了元网络中的依存关系对软件成功的影响情况,并从中介性、等级性、边缘性和一致性等方面研究了相互依存中的协调性问题,为更好地协调软件开发中开发者和源代码之间的关系提供参考。

基于特征依赖图的源代码漏洞检测方法

针对现有源代码漏洞检测方法未显式维护源代码中与漏洞相关的语义信息,导致漏洞语句特征提取困难和漏洞检测误报率高的问题,提出一种基于特征依赖图的源代码漏洞检测方法。首先,提取函数片中的候选漏洞语句,通过分析候选漏洞语句的控制依赖链和数据依赖链,生成特征依赖图。其次,使用词向量模型生成特征依赖图的节点初始表示向量。最后,构建一种面向特征依赖图的漏洞检测神经网络,由图学习网络学习特征依赖图的异构邻居节点信息,由检测网络提取全局特征并进行漏洞检测。实验结果表明,所提方法的召回率、F1分数分别提高1.50%~22.32%、1.86%~16.69%,优于现有方法。

基于Attention-BiLSTM模型的Python 源代码漏洞检测方法

针对源代码漏洞检测可有效应对网络攻击,保障软件系统安全。提出了一种基于Attention-BiLSTM模型的Python源代码漏洞检测方法。将含有漏洞的Python源代码进行切片处理,使用Word2Vec模型将代码切片编码为特征向量,并利用Attention-BiLSTM模型对源代码中的漏洞缺陷特征进行学习。使用全连接层对Python源代码语句进行预测分类。在7种不同类型的漏洞数据集上进行实验。实验结果表明,相较于基于LSTM及BiLSTM模型的源代码漏洞检测方法,基于Attention-BiLSTM模型的Python源代码漏洞检测方法具有更高的准确率和F1Score,准确率达到了97.65%~99.64%,F1Score达到了89.56%~97.05%。

基于缺陷知识库的三维CAD源代码智能检测技术

针对三维CAD软件代码成分复杂、逻辑复杂、支撑数据少等特点及问题,提出了面向三维CAD软件的基于缺陷知识库的源代码智能检测技术。首先,提出面向三维CAD软件的代码大数据知识库构建方法,基于开源代码仓库上的三维CAD软件共同开发的特点,将新旧版本的代码爬取进代码知识库形成相同代码位置不同的代码段,汇总形成差异代码文件。其次,差异代码文件一方面在后续三维CAD软件代码检测中发现复用了开源三维CAD软件的旧代码段时可以向开发人员提供修正推荐,另一方面新旧代码都被爬取到代码知识库中后有利于对三维CAD软件的自主研发率的检测。再次,通过流水线的方式有机组合不同粒度和不同分析层次,充分利用不同分析方法的优点,既能够加速代码匹配过程,提高匹配速度,同时能够高精度匹配经过修改的文件,提高三维CAD软件的代码检测的匹配精度。最后,攻克了由多层三维CAD软件代码特征提取技术和代码特征、漏洞相似对齐技术为主组成的三维CAD软件成分分析技术,实现了三维CAD软件的同源漏洞检测,由此可发现源代码中的逻辑问题、内存泄漏、注入攻击潜在缺陷及安全风险,并能进行代码开源率的检测。

一种开源代码缺陷识别系统的实现

近年来,软件开发中使用开源软件的比例越来越高,开源代码引起的一系列软件安全问题不容忽视。安全开发管控最重要的手段就是对源代码进行静态分析,当前的源代码静态分析技术主要包括语法分析、语义分析、数据流分析及控制流分析等,此类静态分析技术主要是针对缺陷类型构建分析模型,并不考虑开源代码漏洞问题。通过从开放漏洞数据库中抽取所有可用的漏洞记录,并从开源项目所在开源代码库中收集易受攻击的代码建立开源缺陷代码库,挖掘代码缺陷库中的缺陷匹配信息,并通过应用实例证明这是一种有效的源代码安全漏洞挖掘技术,具有较高的缺陷搜索匹配速度和准确性。

人工智能下复杂软件源代码缺陷精准校正

缺陷校正可以保证复杂软件源代码的稳定运行,为了提高源代码缺陷校正性能,提出基于人工智能的复杂软件源代码缺陷校正方法。利用语法分析器,建立源代码语言的文本分析树,通过定义源代码语言文本中间转换执行流的延续,分析复杂软件源代码语义。引入人工智能领域的计算机科学技术,计算复杂软件的后验概率,利用模糊矩阵计算源代码缺陷的贴近度,验证复杂软件源代码的程序标注。根据复杂软件源代码的缺陷密度,利用人工智能聚类算法预处理源代码缺陷特征,依据人工智能的数据依赖性分析理论,提取出源代码分区的依赖关系,结合代码转换,实现复杂软件源代码缺陷的校正。仿真结果表明,所研究方法可以提高复杂软件程序的运行效率,并将源代码缺陷校正准确率和召回率提高至90%以上。

基于代码序列与图结构的源代码漏洞检测方案

针对传统的漏洞检测方案存在检测精度较低的问题,本文提出了一种函数级源代码漏洞检测方案,综合考虑源代码结构图与标记序列两种中间表示形式来实现漏洞检测。首先,抽取扩展的代码属性图(CPG’)进行节点与边的嵌入并应用关系图卷积网络(RGCN)对不同的边进行不同的处理,从而生成图表示。其次,抽取标记序列并应用预训练模型CodeBert生成序列表示。最后,集成二者并应用三层全连接网络以确保漏洞检测性能。本文采用合成与真实软件两种类型的数据集对漏洞检测方案进行了综合评估。实验结果表明,相比现有的基于序列、基于图及基于二者结合的漏洞检测方案,本文给出的方案在准确率与F 1值上均有显著提升,最高分别达到98.99%与98.11%。此外,本文通过控制单一变量的对照试验进一步验证了各环节中改进方法的有效性。

浅谈DO-178C中附加代码验证目标的实现

DO-178C要求基于需求的测试结构覆盖率分析可以在源代码、目标码或者可执行目标码级别开展,如果结构覆盖率分析在源代码级别开展,那么测试覆盖分析并不包含对编译器、链接器产生的附加代码的验证。DO-178C要求A级软件应特别关注这些附加代码,对附加代码进行识别,并按照正常代码的验证要求对附加代码进行验证。在分析DO-178C、DO-248C、CAST-12的基础上,从适航认证角度探讨了基于源代码执行结构覆盖分析时,A级软件如何满足DO-178C表A-7目标9“不能追踪到源代码的附加代码的验证已完成”。

源代码检测分析技术与应用研究

随着近几年的实战攻防演练的强度增加以及拍打力度的增强,源代码检测技术迄今为止仍是有待解决的重要问题。不同于软件缺陷,源代码漏洞更加难以识别和修复。文章从源代码安全的必要性、软件供应链安全的安全风险和不可控风险出发,重点阐述了源代码检测的技术原理、技术难点以及目前国产源代码的技术突破,同时对“安全左移”的具体落实提出建设性意见。

代码相似性检测技术综述

代码复用为软件开发带来便利的同时也引入了安全风险,如加速漏洞传播、代码恶意抄袭等,代码相似性检测技术通过分析代码间词法、语法、语义等信息计算代码相似程度,是判断代码复用最有效的技术之一,也是近年发展较快的程序安全分析技术。首先,系统梳理代码相似性检测的近期技术进展,根据目标代码是否开源,将代码相似性检测技术分为源码相似性检测和二进制代码相似性检测,又根据编程语言、指令集的不同进行二次细分;其次,总结每一种技术的思路和研究成果,分析机器学习技术在代码相似性检测领域成功的案例,并讨论现有技术的优势与不足;最后,给出代码相似性检测技术的发展趋势,为相关研究人员提供参考。