一种基于缺陷分析的代码安全性评价方法技术

技术编号:10375952 阅读:261 留言:0更新日期:2014-08-28 18:20
本发明专利技术提供了一种基于缺陷分析的代码安全性评价方法,包括步骤1:获取代码缺陷WA的威胁程度DW;步骤2:构建代码缺陷库;步骤3:对代码进行量化分析;步骤4:获取代码的安全性量值TA。与现有技术相比,本发明专利技术提供的一种基于缺陷分析的代码安全性评价方法,能够全面的从代码缺陷编写产生、编写预防以及代码环境系数EVA中的编写人员素质的结果来量化评估代码的安全性;提高了代码安全性评价的精确度从而提高代码的安全性以及增强应用系统的整体安全性。

【技术实现步骤摘要】

本专利技术涉及一种代码安全性评价方法,具体涉及。
技术介绍
随着信息化建设的逐渐深入,信息安全攻击趋势也发生了变化,从以往的攻击系统和网络向攻击应用系统进行转变。根据国际权威咨询机构Gartner统计,目前75%的信息安全攻击均发生在应用系统层面而并非系统和网络层面上,网络中常见的攻击已经由传统的系统漏洞攻击逐渐发展演变为对应用自身弱点的攻击。其中,应用系统自身的弱点和缺陷主要是由于开发人员在编码时没有注意编写代码的安全而引起的。由于应用系统的种类和功能越来越繁多,导致其代码规模也越来越大,代码的安全性成为日益突出的安全性问题。现有技术中对代码安全性进行检测的工具更多的是对代码存在多少缺陷的检测,并没有对整个代码的安全性进行评估,例如=Fortify代码安全检测工具虽然能够提示出代码的安全等级,但其仅包括高中低三种安全等级。同时不同的代码安全缺陷研究组织,如CWE、Nist、OWASP等,对代码安全缺陷的描述方法不同,并没有统一的代码安全缺陷分类方法,从而增加了应用系统整体代码的安全性评估的复杂性和难度。因此,为了提高现有代码安全性评价方法,对于代码安全性进行评价过于泛化,弓丨进的评价因子过于缺少的局限性,提供一种代码安全性评价方法显得尤为重要。
技术实现思路
为了满足现有技术的需要,本专利技术提供了,所述方法包括下述步骤:步骤1:获取代码缺陷WA的威胁程度DW ;步骤2:构建代码缺陷库;步骤3:对代码进行量化分析;步骤4:获取所述代码的安全性量值TA。优选的,依据代码缺陷分类设置代码缺陷威胁程度属性Damage,从而获取所述威胁程度DW;所述代码缺陷WA = (A1, A2,...A1...AJ ;所述威胁程度DW =(D1, D2,...D1...DJ ;所述威胁程度DW与所述代码缺陷WA之间一一对应;优选的,通过Fortify建立代码缺陷分类,包括严重风险类缺陷Critical、高风险类缺陷Hight、中风险类缺陷Medium和低风险类缺陷Low ;优选的,依据所述威胁程度DW和人工影响指数PEA构建代码缺陷库;所述人工影响指数PEA为编程人员对所述代码缺陷采用的处理方式对所述威胁程度Dff的影响值;所述人工影响指数PEA = (PEA1, PEA2,...PEA1...PEAJ ;所述人工影响指数PEA与所述代码缺陷WA之间——对应;优选的,所述步骤3中的代码量化分析包括:步骤3-1:获取所述严重风险类缺陷Critical的数量值Cn、所述高风险类缺陷Hight的数量值Hn、所述中风险类缺陷Medium的数量值Mn和所述低风险类缺陷Low的数量值Ln ;步骤3-2:通过所述威胁程度DW、所述人工影响指数PEA、所述数量值Cn、所述数量值Hn、所述数量值Mn和所述数量值Ln分别计算所述严重风险类缺陷Critcal的威胁量化值Tc、所述高风险类缺陷Hight的威胁量化值TH、所述中风险类缺陷Medium的威胁量化值Tm和所述低风险类缺陷Low的威胁量化值IY ;本文档来自技高网...
一种<a href="http://www.xjishu.com/zhuanli/55/201410262288.html" title="一种基于缺陷分析的代码安全性评价方法原文来自X技术">基于缺陷分析的代码安全性评价方法</a>

【技术保护点】
一种基于缺陷分析的代码安全性评价方法,其特征在于,所述方法包括下述步骤:步骤1:获取代码缺陷WA的威胁程度DW;步骤2:构建代码缺陷库;步骤3:对代码进行量化分析;步骤4:获取所述代码的安全性量值TA。

【技术特征摘要】
1.一种基于缺陷分析的代码安全性评价方法,其特征在于,所述方法包括下述步骤: 步骤1:获取代码缺陷WA的威胁程度DW ; 步骤2:构建代码缺陷库; 步骤3:对代码进行量化分析; 步骤4:获取所述代码的安全性量值TA。2.如权利要求1所述的一种基于缺陷分析的代码安全性评价方法,其特征在于,依据代码缺陷分类设置代码缺陷威胁程度属性Damage,从而获取所述威胁程度DW ;所述代码缺陷WA = (A1, A2,…A1...AJ ;所述威胁程度Dff = (D1, D2,…D1...Dj ;所述威胁程度Dff与所述代码缺陷WA之间——对应。3.如权利要求1所述的一种基于缺陷分析的代码安全性评价方法,其特征在于,通过Fortify建立代码缺陷分类,包括严重风险类缺陷Critical、高风险类缺陷Hight、中风险类缺陷Medium和低风险类缺陷Low。4.如权利要求1所述的一种基于缺陷分析的代码安全性评价方法,其特征在于,依据所述威胁程度DW和人工影响指数PEA构建代码缺陷库; 所述人工影响指数PEA为编程人员对所述代码缺陷采用的处...

【专利技术属性】
技术研发人员:范杰石聪聪郭骞高鹏李尼格蒋诚智俞庚申冯谷余勇曹宛恬鲍兴川
申请(专利权)人:国家电网公司中国电力科学研究院
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1