一種基於缺陷分析的代碼安全性評價方法

2023-12-02 11:57:31

一種基於缺陷分析的代碼安全性評價方法
【專利摘要】本發明提供了一種基於缺陷分析的代碼安全性評價方法，包括步驟1：獲取代碼缺陷WA的威脅程度DW；步驟2：構建代碼缺陷庫；步驟3：對代碼進行量化分析；步驟4：獲取代碼的安全性量值TA。與現有技術相比，本發明提供的一種基於缺陷分析的代碼安全性評價方法，能夠全面的從代碼缺陷編寫產生、編寫預防以及代碼環境係數EVA中的編寫人員素質的結果來量化評估代碼的安全性；提高了代碼安全性評價的精確度從而提高代碼的安全性以及增強應用系統的整體安全性。
【專利說明】一種基於缺陷分析的代碼安全性評價方法
【技術領域】
[0001]本發明涉及一種代碼安全性評價方法，具體涉及一種基於缺陷分析的代碼安全性評價方法。
【背景技術】
[0002]隨著信息化建設的逐漸深入，信息安全攻擊趨勢也發生了變化，從以往的攻擊系統和網絡向攻擊應用系統進行轉變。根據國際權威諮詢機構Gartner統計，目前75%的信息安全攻擊均發生在應用系統層面而並非系統和網絡層面上，網絡中常見的攻擊已經由傳統的系統漏洞攻擊逐漸發展演變為對應用自身弱點的攻擊。其中，應用系統自身的弱點和缺陷主要是由於開發人員在編碼時沒有注意編寫代碼的安全而引起的。
[0003]由於應用系統的種類和功能越來越繁多，導致其代碼規模也越來越大，代碼的安全性成為日益突出的安全性問題。現有技術中對代碼安全性進行檢測的工具更多的是對代碼存在多少缺陷的檢測，並沒有對整個代碼的安全性進行評估，例如=Fortify代碼安全檢測工具雖然能夠提示出代碼的安全等級，但其僅包括高中低三種安全等級。
[0004]同時不同的代碼安全缺陷研究組織，如CWE、Nist、OWASP等，對代碼安全缺陷的描述方法不同，並沒有統一的代碼安全缺陷分類方法，從而增加了應用系統整體代碼的安全性評估的複雜性和難度。
[0005]因此，為了提高現有代碼安全性評價方法，對於代碼安全性進行評價過於泛化，弓丨進的評價因子過於缺少的局限性，提供一種代碼安全性評價方法顯得尤為重要。

【發明內容】

[0006]為了滿足現有技術的需要，本發明提供了一種基於缺陷分析的代碼安全性評價方法，所述方法包括下述步驟:
[0007]步驟1:獲取代碼缺陷WA的威脅程度DW ；
[0008]步驟2:構建代碼缺陷庫；
[0009]步驟3:對代碼進行量化分析；
[0010]步驟4:獲取所述代碼的安全性量值TA。
[0011]優選的，依據代碼缺陷分類設置代碼缺陷威脅程度屬性Damage，從而獲取所述威脅程度DW;所述代碼缺陷WA = (A1, A2,...A1...AJ ;所述威脅程度DW =(D1, D2,...D1...DJ ;所述威脅程度DW與所述代碼缺陷WA之間一一對應；
[0012]優選的，通過Fortify建立代碼缺陷分類，包括嚴重風險類缺陷Critical、高風險類缺陷Hight、中風險類缺陷Medium和低風險類缺陷Low ；
[0013]優選的，依據所述威脅程度DW和人工影響指數PEA構建代碼缺陷庫；
[0014]所述人工影響指數PEA為編程人員對所述代碼缺陷採用的處理方式對所述威脅程度Dff的影響值；所述人工影響指數PEA = (PEA1, PEA2,...PEA1...PEAJ ;所述人工影響指數PEA與所述代碼缺陷WA之間——對應；[0015]優選的，所述步驟3中的代碼量化分析包括:
[0016]步驟3-1:獲取所述嚴重風險類缺陷Critical的數量值Cn、所述高風險類缺陷Hight的數量值Hn、所述中風險類缺陷Medium的數量值Mn和所述低風險類缺陷Low的數量值Ln ；
[0017]步驟3-2:通過所述威脅程度DW、所述人工影響指數PEA、所述數量值Cn、所述數量值Hn、所述數量值Mn和所述數量值Ln分別計算所述嚴重風險類缺陷Critcal的威脅量化值Tc、所述高風險類缺陷Hight的威脅量化值TH、所述中風險類缺陷Medium的威脅量化值Tm和所述低風險類缺陷Low的威脅量化值IY ；
【權利要求】
1.一種基於缺陷分析的代碼安全性評價方法，其特徵在於，所述方法包括下述步驟: 步驟1:獲取代碼缺陷WA的威脅程度DW ； 步驟2:構建代碼缺陷庫； 步驟3:對代碼進行量化分析； 步驟4:獲取所述代碼的安全性量值TA。
2.如權利要求1所述的一種基於缺陷分析的代碼安全性評價方法，其特徵在於，依據代碼缺陷分類設置代碼缺陷威脅程度屬性Damage，從而獲取所述威脅程度DW ;所述代碼缺陷WA = (A1, A2，…A1...AJ ;所述威脅程度Dff = (D1, D2，…D1...Dj ;所述威脅程度Dff與所述代碼缺陷WA之間——對應。
3.如權利要求1所述的一種基於缺陷分析的代碼安全性評價方法，其特徵在於，通過Fortify建立代碼缺陷分類,包括嚴重風險類缺陷Critical、高風險類缺陷Hight、中風險類缺陷Medium和低風險類缺陷Low。
4.如權利要求1所述的一種基於缺陷分析的代碼安全性評價方法，其特徵在於，依據所述威脅程度DW和人工影響指數PEA構建代碼缺陷庫； 所述人工影響指數PEA為編程人員對所述代碼缺陷採用的處理方式對所述威脅程度Dff的影響值；所述人工影響指數PEA = (PEA1, PEA2,...PEA1...PEAJ ;所述人工影響指數PEA與所述代碼缺陷WA之間——對應。
5.如權利要求1所述的一種基於缺陷分析的代碼安全性評價方法，其特徵在於，所述步驟3中的代碼量化分析包括: 步驟3-1:獲取所述嚴重風險類缺陷Critical的數量值Cn、所述高風險類缺陷Hight的數量值Hn、所述中風險類缺陷Medium的數量值Mn和所述低風險類缺陷Low的數量值Ln ； 步驟3-2:通過所述威脅程度DW、所述人工影響指數PEA、所述數量值Cn、所述數量值Hn、所述數量值Mn和所述數量值Ln分別計算所述嚴重風險類缺陷Critical的威脅量化值Tc、所述高風險類缺陷Hight的威脅量化值TH、所述中風險類缺陷Medium的威脅量化值Tm和所述低風險類缺陷Low的威脅量化值IY ；
6.如權利要求1所述的一種基於缺陷分析的代碼安全性評價方法，其特徵在於，所述步驟4中獲取代碼的安全性量值Ta包括: 步驟4-1:獲取所述編程人員影響係數PT;所述
【文檔編號】G06F11/36GK104008057SQ201410262288
【公開日】2014年8月27日 申請日期:2014年6月13日 優先權日:2014年6月13日
【發明者】範傑, 石聰聰, 郭騫, 高鵬, 李尼格, 蔣誠智, 俞庚申, 馮谷, 餘勇, 曹宛恬, 鮑興川 申請人:國家電網公司, 中國電力科學研究院