一种基于缺陷分析的代码安全性评价方法技术
【技术实现步骤摘要】
本专利技术涉及一种代码安全性评价方法,具体涉及。
技术介绍
随着信息化建设的逐渐深入,信息安全攻击趋势也发生了变化,从以往的攻击系统和网络向攻击应用系统进行转变。根据国际权威咨询机构Gartner统计,目前75%的信息安全攻击均发生在应用系统层面而并非系统和网络层面上,网络中常见的攻击已经由传统的系统漏洞攻击逐渐发展演变为对应用自身弱点的攻击。其中,应用系统自身的弱点和缺陷主要是由于开发人员在编码时没有注意编写代码的安全而引起的。由于应用系统的种类和功能越来越繁多,导致其代码规模也越来越大,代码的安全性成为日益突出的安全性问题。现有技术中对代码安全性进行检测的工具更多的是对代码存在多少缺陷的检测,并没有对整个代码的安全性进行评估,例如=Fortify代码安全检测工具虽然能够提示出代码的安全等级,但其仅包括高中低三种安全等级。同时不同的代码安全缺陷研究组织,如CWE、Nist、OWASP等,对代码安全缺陷的描述方法不同,并没有统一的代码安全缺陷分类方法,从而增加了应用系统整体代码的安全性评估的复杂性和难度。因此,为了提高现有代码安全性评价方法,对于代码安全性进行评价过于泛化,弓丨进的评价因子过于缺少的局限性,提供一种代码安全性评价方法显得尤为重要。
技术实现思路
为了满足现有技术的需要,本专利技术提供了,所述方法包括下述步骤:步骤1:获取代码缺陷WA的威胁程度DW ;步骤2:构建代码缺陷库;步骤3:对代码进行量化分析;步骤4:获取所述代码的安全性量值TA。优选的,依据代码缺陷分类设置代码缺陷威胁程度属性Damage,从而获取所述威胁程度DW;所述代...
【技术保护点】
一种基于缺陷分析的代码安全性评价方法,其特征在于,所述方法包括下述步骤:步骤1:获取代码缺陷WA的威胁程度DW;步骤2:构建代码缺陷库;步骤3:对代码进行量化分析;步骤4:获取所述代码的安全性量值TA。
【技术特征摘要】
1.一种基于缺陷分析的代码安全性评价方法,其特征在于,所述方法包括下述步骤: 步骤1:获取代码缺陷WA的威胁程度DW ; 步骤2:构建代码缺陷库; 步骤3:对代码进行量化分析; 步骤4:获取所述代码的安全性量值TA。2.如权利要求1所述的一种基于缺陷分析的代码安全性评价方法,其特征在于,依据代码缺陷分类设置代码缺陷威胁程度属性Damage,从而获取所述威胁程度DW ;所述代码缺陷WA = (A1, A2,…A1...AJ ;所述威胁程度Dff = (D1, D2,…D1...Dj ;所述威胁程度Dff与所述代码缺陷WA之间——对应。3.如权利要求1所述的一种基于缺陷分析的代码安全性评价方法,其特征在于,通过Fortify建立代码缺陷分类,包括严重风险类缺陷Critical、高风险类缺陷Hight、中风险类缺陷Medium和低风险类缺陷Low。4.如权利要求1所述的一种基于缺陷分析的代码安全性评价方法,其特征在于,依据所述威胁程度DW和人工影响指数PEA构建代码缺陷库; 所述人工影响指数PEA为编程人员对所述代码缺陷采用的处...
【专利技术属性】
技术研发人员:范杰,石聪聪,郭骞,高鹏,李尼格,蒋诚智,俞庚申,冯谷,余勇,曹宛恬,鲍兴川,
申请(专利权)人:国家电网公司,中国电力科学研究院,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。