一种基于缺陷分析的代码安全性评价方法
【专利摘要】本发明提供了一种基于缺陷分析的代码安全性评价方法,包括步骤1:获取代码缺陷WA的威胁程度DW;步骤2:构建代码缺陷库;步骤3:对代码进行量化分析;步骤4:获取代码的安全性量值TA。与现有技术相比,本发明提供的一种基于缺陷分析的代码安全性评价方法,能够全面的从代码缺陷编写产生、编写预防以及代码环境系数EVA中的编写人员素质的结果来量化评估代码的安全性;提高了代码安全性评价的精确度从而提高代码的安全性以及增强应用系统的整体安全性。
【专利说明】一种基于缺陷分析的代码安全性评价方法
【技术领域】
[0001]本发明涉及一种代码安全性评价方法,具体涉及一种基于缺陷分析的代码安全性评价方法。
【背景技术】
[0002]随着信息化建设的逐渐深入,信息安全攻击趋势也发生了变化,从以往的攻击系统和网络向攻击应用系统进行转变。根据国际权威咨询机构Gartner统计,目前75%的信息安全攻击均发生在应用系统层面而并非系统和网络层面上,网络中常见的攻击已经由传统的系统漏洞攻击逐渐发展演变为对应用自身弱点的攻击。其中,应用系统自身的弱点和缺陷主要是由于开发人员在编码时没有注意编写代码的安全而引起的。
[0003]由于应用系统的种类和功能越来越繁多,导致其代码规模也越来越大,代码的安全性成为日益突出的安全性问题。现有技术中对代码安全性进行检测的工具更多的是对代码存在多少缺陷的检测,并没有对整个代码的安全性进行评估,例如=Fortify代码安全检测工具虽然能够提示出代码的安全等级,但其仅包括高中低三种安全等级。
[0004]同时不同的代码安全缺陷研究组织,如CWE、Nist、OWASP等,对代码安全缺陷的描述方法不同,并没有统一的代码安全缺陷分类方法,从而增加了应用系统整体代码的安全性评估的复杂性和难度。
[0005]因此,为了提高现有代码安全性评价方法,对于代码安全性进行评价过于泛化,弓丨进的评价因子过于缺少的局限性,提供一种代码安全性评价方法显得尤为重要。
【发明内容】
[0006]为了满足现有技术的需要,本发明提供了一种基于缺陷分析的代码安全性评价方法,所述方法包括下述步骤:
[0007]步骤1:获取代码缺陷WA的威胁程度DW ;
[0008]步骤2:构建代码缺陷库;
[0009]步骤3:对代码进行量化分析;
[0010]步骤4:获取所述代码的安全性量值TA。
[0011]优选的,依据代码缺陷分类设置代码缺陷威胁程度属性Damage,从而获取所述威胁程度DW;所述代码缺陷WA = (A1, A2,...A1...AJ ;所述威胁程度DW =(D1, D2,...D1...DJ ;所述威胁程度DW与所述代码缺陷WA之间一一对应;
[0012]优选的,通过Fortify建立代码缺陷分类,包括严重风险类缺陷Critical、高风险类缺陷Hight、中风险类缺陷Medium和低风险类缺陷Low ;
[0013]优选的,依据所述威胁程度DW和人工影响指数PEA构建代码缺陷库;
[0014]所述人工影响指数PEA为编程人员对所述代码缺陷采用的处理方式对所述威胁程度Dff的影响值;所述人工影响指数PEA = (PEA1, PEA2,...PEA1...PEAJ ;所述人工影响指数PEA与所述代码缺陷WA之间——对应;[0015]优选的,所述步骤3中的代码量化分析包括:
[0016]步骤3-1:获取所述严重风险类缺陷Critical的数量值Cn、所述高风险类缺陷Hight的数量值Hn、所述中风险类缺陷Medium的数量值Mn和所述低风险类缺陷Low的数量值Ln ;
[0017]步骤3-2:通过所述威胁程度DW、所述人工影响指数PEA、所述数量值Cn、所述数量值Hn、所述数量值Mn和所述数量值Ln分别计算所述严重风险类缺陷Critcal的威胁量化值Tc、所述高风险类缺陷Hight的威胁量化值TH、所述中风险类缺陷Medium的威胁量化值Tm和所述低风险类缺陷Low的威胁量化值IY ;
【权利要求】
1.一种基于缺陷分析的代码安全性评价方法,其特征在于,所述方法包括下述步骤: 步骤1:获取代码缺陷WA的威胁程度DW ; 步骤2:构建代码缺陷库; 步骤3:对代码进行量化分析; 步骤4:获取所述代码的安全性量值TA。
2.如权利要求1所述的一种基于缺陷分析的代码安全性评价方法,其特征在于,依据代码缺陷分类设置代码缺陷威胁程度属性Damage,从而获取所述威胁程度DW ;所述代码缺陷WA = (A1, A2,…A1...AJ ;所述威胁程度Dff = (D1, D2,…D1...Dj ;所述威胁程度Dff与所述代码缺陷WA之间——对应。
3.如权利要求1所述的一种基于缺陷分析的代码安全性评价方法,其特征在于,通过Fortify建立代码缺陷分类,包括严重风险类缺陷Critical、高风险类缺陷Hight、中风险类缺陷Medium和低风险类缺陷Low。
4.如权利要求1所述的一种基于缺陷分析的代码安全性评价方法,其特征在于,依据所述威胁程度DW和人工影响指数PEA构建代码缺陷库; 所述人工影响指数PEA为编程人员对所述代码缺陷采用的处理方式对所述威胁程度Dff的影响值;所述人工影响指数PEA = (PEA1, PEA2,...PEA1...PEAJ ;所述人工影响指数PEA与所述代码缺陷WA之间——对应。
5.如权利要求1所述的一种基于缺陷分析的代码安全性评价方法,其特征在于,所述步骤3中的代码量化分析包括: 步骤3-1:获取所述严重风险类缺陷Critical的数量值Cn、所述高风险类缺陷Hight的数量值Hn、所述中风险类缺陷Medium的数量值Mn和所述低风险类缺陷Low的数量值Ln ; 步骤3-2:通过所述威胁程度DW、所述人工影响指数PEA、所述数量值Cn、所述数量值Hn、所述数量值Mn和所述数量值Ln分别计算所述严重风险类缺陷Critical的威胁量化值Tc、所述高风险类缺陷Hight的威胁量化值TH、所述中风险类缺陷Medium的威胁量化值Tm和所述低风险类缺陷Low的威胁量化值IY ;
6.如权利要求1所述的一种基于缺陷分析的代码安全性评价方法,其特征在于,所述步骤4中获取代码的安全性量值Ta包括: 步骤4-1:获取所述编程人员影响系数PT;所述
【文档编号】G06F11/36GK104008057SQ201410262288
【公开日】2014年8月27日 申请日期:2014年6月13日 优先权日:2014年6月13日
【发明者】范杰, 石聪聪, 郭骞, 高鹏, 李尼格, 蒋诚智, 俞庚申, 冯谷, 余勇, 曹宛恬, 鲍兴川 申请人:国家电网公司, 中国电力科学研究院