代码审计系统的误报率成因和优化

肖芫莹; 游耀东; 向黎希

doi:10.11959/j.issn.1000-0801.2020324

您当前的位置：

首页 >

文章列表页 >

代码审计系统的误报率成因和优化

专栏：应用及终端安全 | 更新时间：2024-06-05

- 代码审计系统的误报率成因和优化
- Causes and optimization of the false alarm rate of code review system
- 电信科学 2020年36卷第12期页码：155-162
- 作者机构：
- 作者简介：
  
  [ "肖芫莹（1997- ），女，现就职于中国电信股份有限公司研究院应用安全研究所，主要研究方向为代码审计" ]
  [ "游耀东（1979- ），男，现就职于中国电信股份有限公司研究院应用安全研究所，主要研究方向为安全开发SDL、应用安全以及代码审计" ]
  [ "向黎希（1984- ），女，现就职于中国电信股份有限公司研究院应用安全研究所，主要研究方向为代码审计" ]
- 基金信息：
- DOI：10.11959/j.issn.1000-0801.2020324
  中图分类号： TN915.9
- 网络出版日期：2020-12，
  
  纸质出版日期：2020-12-20
- 稿件说明：
移动端阅览
肖芫莹, 游耀东, 向黎希. 代码审计系统的误报率成因和优化[J]. 电信科学, 2020,36(12):155-162.

Yuanying XIAO, Yaodong YOU, Lixi XIANG. Causes and optimization of the false alarm rate of code review system[J]. Telecommunications science, 2020, 36(12): 155-162.
肖芫莹, 游耀东, 向黎希. 代码审计系统的误报率成因和优化[J]. 电信科学, 2020,36(12):155-162. DOI： 10.11959/j.issn.1000-0801.2020324.

Yuanying XIAO, Yaodong YOU, Lixi XIANG. Causes and optimization of the false alarm rate of code review system[J]. Telecommunications science, 2020, 36(12): 155-162. DOI： 10.11959/j.issn.1000-0801.2020324.

摘要

目前，代码审计已经成为网络安全建设中举足轻重的环节，基于自动化源代码检测的代码审计系统已经得到了广泛的应用，但仍存在诸多缺点。总结了当前代码审计系统的不足之处，简述了不同静态源代码检测算法的原理，并分析检测报告中出现误报的原因，提出了相应的优化思路，描述了优化方案的技术原理及其应用场景。

Abstract

Code review technology has become a pivotal part in the construction of network security.Analysis of the test reports obtained by the current code auditing system shows that there are many false positives in the report.The shortcomings in the development of the code audit system were summarized

the principles of different detection algorithms were briefly described

the causes of false alarm rates were analyzed

corresponding optimization ideas were proposed

the technical principles of optimization were explained

and the application scenarios of optimization schemes were described.

关键词

Keywords

references

罗琴灵 . 基于静态检测的代码审计技术研究 [D ] . 贵阳:贵州大学 , 2015 .

LUO Q L . Research on code audit technology based on static detection [D ] . Guizhou:Guizhou University , 2015 .

王优楠 . 一种 XSS 漏洞灰盒检测方案的设计与实现 [D ] . 成都:电子科技大学 , 2017 .

WANG Y N . Design and implementation of a XSS vulnerability grey box detection scheme [D ] . Chengdu:University of Electronic Science and Technology of China , 2017 .

何斌颖 , 杨林海 . Web 代码安全人工审计内容的研究 [J ] . 江西科学 , 2014 , 32 ( 4 ): 536 - 537 .

HE B Y , YANG L H . A study of Web artificial code security audit [J ] . Jiangxi Science , 2014 , 32 ( 4 ): 536 - 537 .

梁业裕 , 徐坦 , 宁建创 , 等 . 代码审计工作在整个安全保障体系中的重要价值 [J ] . 计算机安全 , 2012 ( 12 ): 32 - 34 .

LIANG Y Y , XU T , NING J C , et al . The important value of code audit work in the whole security system [J ] . Network and Computer Security , 2012 ( 12 ): 32 - 34 .

柳毅 , 洪俊斌 . 基于网络爬虫与页面代码行为的XSS漏洞动态检测方法 [J ] . 电信科学 , 2016 , 32 ( 3 ): 87 - 91 .

LIU Y , HONG J B . A dynamic detection method based on Web crawler and page code behavior for XSS vulnerability [J ] . Telecommunications Science , 2016 , 32 ( 3 ): 87 - 91 .

乔涛 . 跨站脚本漏洞检测与防御技术研究 [D ] . 扬州:扬州大学 , 2017 .

QIAO T . Research on cross-site scripting vulnerability detection and defense technology [D ] . Yangzhou:Yangzhou University , 2017 .

许波 . 代码安全审计工作之我见 [J ] . 信息科技探索 , 2020 ( 5 ): 130 - 132 .

XU B . My view on code security audit [J ] . Public Communication of Science ＆ Technology , 2020 ( 5 ): 130 - 132 .

王晓萌 . 深度学习源代码缺陷检测方法 [J ] . 北京理工大学学报 , 2019 ( 11 ): 1155 - 1156 .

WANG X M . Source code defect detection based on deep learning [J ] . Transactions of Beijing Institute of Technology , 2019 ( 11 ): 1155 - 1156 .

李珍 , 邹德清 , 王泽丽 , 等 . 面向源代码的软件漏洞静态检测综述 [J ] . 网络与信息安全学报 , 2019 ( 2 ): 2 - 4 .

LI Z , ZOU D Q , WANG Z L , et al . Survey on static software vulnerability detection for source code [J ] . Chinese Journal of Network and Information Security , 2019 ( 2 ): 2 - 4 .

黄显果 , 王鹏 , 刘静静 , 等 . 基于工具检测的源代码静态测试技术研究 [J ] . 软件研发与应用 , 2019 ( 5 ): 17 - 19 .

HUANG X G , WANG P , LIU J J , et al . Research on source code static testing technology based on tool detection [J ] . Computer Programming Skills ＆ Maintenance , 2019 ( 5 ): 17 - 19 .

浏览量

586

下载量

CSCD

文章被引用时，请邮件提醒。

提交

工具集

关联资源

5G网络量子安全算法应用研究

基于改进长短期记忆网络的新能源场站网络安全评估方法研究

基于RPA技术的网络安全运营自动化实践应用研究

天地一体化网络安全挑战及创新方案

信息通信技术若干发展趋势