本发明使用了代码分析与代码检测技术,主要应用于代码审查,属于信息安全技术领域。
背景技术:
随着网络的发展,网络安全越来越受重视,而有一大部分网络安全事件的发生源自于应用程序的安全缺陷。因此对应用程序的安全性测试显得尤为重要,源代码分析也是对应用程序安全性测试的方法之一。但是人工的代码分析会耗费大量人力与时间成本,因此需要一种自动化/半自动化方法来协助发现源代码中的安全缺陷。
传统的代码分析工具基本是直接在本地对代码进行分析并输出分析报告,无设置断点、变量输出、调试等与用户交互功能,缺少对项目代码的规范管理与多用户管理。
本发明将提供一种可在线调试的静态代码分析系统及方法,允许多用户对项目代码进行在线分析调试,来提高代码分析的效率及规范性。
技术实现要素:
本发提供的是一种可在线调试的静态代码分析系统及方法,系统会先自动对项目代码进行自动化语义分析,通过规则库跟踪分析代码中潜在的安全隐患,并将安全隐患列出。
用户根据系统列出的安全隐患,定位到相应的代码片段,对漏洞进行确认与分析,同时可通过客户端对代码设置断点和跟踪方式,在线对项目代码进行调试,由此来确认潜在的安全问题与系统未发现的安全问题。
该发明可高效地发现源代码中的安全隐患,同时协助用户对源代码进行审查。
附图说明
图1为系统结构图。
图2为业务流程图。
具体实施方式
如图1所示,本发明实施例基于c/s与b/s架构,具有独立的客户端供用户操作,同时提供在线浏览器页面供用户直接操作。
本系统的组成主要包括下述四个功能模块:1.在线代码管理模块。负责对项目代码进行版本控制与用户权限控制,同时提供源代码操作接口给其它模块;2.静态代码审计模块。负责对项目源代码进行语义分析,根据规则库分析潜在的安全问题,并生成报告;3.在线代码解释器。负责对代码进行解析,供用户调试分析;4.用户操作界面。负责与用户交互,用户可在操作界面上导入、导出、修改项目。可对项目代码进行修改,设置断点,修改项目设置,查看分析结果与调试过程。
该发明可检测的项目源码类型包括php、c、c++、java、c#、python、javascript、perl、ruby、lua、jsp这些主流开发语言。