位置:成果数据库 > 期刊 > 期刊详情页
一种静态分析工具的优化方法
  • ISSN号:1000-1220
  • 期刊名称:《小型微型计算机系统》
  • 时间:0
  • 分类:TP311[自动化与计算机技术—计算机软件与理论;自动化与计算机技术—计算机科学与技术]
  • 作者机构:[1]中国科学技术大学计算机科学与技术学院,合肥230027, [2]中国科学院软件研究所,北京100190
  • 相关基金:国家自然科学青年基金项目(61100227)资助;国家“八六三”高技术研究发展计划重大项目(2011AA01A203)资助.
作者: 曾述可, 张阳[2], 程亮[2], 邓艺[2], 冯登国[2]
关键词: 静态分析, 安全测评, 警报优先级, FindBugs, JAVA, 自动测试, 虚假警报, static analysis, security testing, warning priority , ranking, FindBugs , java, auto testing , false positive
中文摘要:

当前,代码静态分析工具已被广泛应用于软件开发与安全测评中,这些工具可以对软件源代码或二进制代码进行分析,而无需执行它们.尽管静态分析工具可以发现其它测试方法难以发现的错误,但它们面临着同一个严重的问题:分析结果的误报率很高.在静态分析工具生成的警报中,许多警报都是虚假的,这些虚假的警报并不对应真实的安全漏洞或问题.在使用过程中,用户不得不消耗很多时间和资源,从众多的警报中把虚假的筛选出去,这大大降低了静态分析工具的可用性.本文提出一种针对静态分析工具的优化方法,将静态分析的结果与软件的版本历史综合考虑,为每一份静态分析的警报计算其优先级,优先级越高的警报,越有可能对应真实的安全漏洞或问题.在三个开源软件(Lucene,Cassandra,Hadoop)中,对本文方法进行了验证.实验结果表明,该方法可以把FindBugs静态分析工具的精确性分别提高23%,36%和25%.

英文摘要:

Static code analysis tools are widely used today to analyze code without executing it,but they share a critical challenge:the low precision of reported warnings. Users have been suffering in the low precision of warnings, they must spend a lot of time sieving the warnings in order to identify the real defects out of false positive ones. In this paper, we propose a ranking approach for warnings issued by static analysis tools, based on the history of software revisions. We evaluated our approach in three open-source projects, Lu- cene,Cassandra and Hadoop,in which the warning precisions were improved by 23% ,36% and 25% respectively.

同期刊论文项目
逻辑驱动的跨操作系统安全机制评价方法研究
期刊论文 3 会议论文 7
同项目期刊论文
Evaluating and comparing the quality of access control in different operating systems
一种针对Android系统隐私保护机制有效性的评估方法
期刊信息
  • 《小型微型计算机系统》
  • 中国科技核心期刊
  • 主管单位:中国科学院
  • 主办单位:中国科学院沈阳计算技术研究所
  • 主编:林浒
  • 地址:沈阳市浑南新区南屏东路16号
  • 邮编:110168
  • 邮箱:xwjxt@sict.ac.cn
  • 电话:024-24696120 024-24696190-8870
  • 国际标准刊号:ISSN:1000-1220
  • 国内统一刊号:ISSN:21-1106/TP
  • 邮发代号:8-108
  • 获奖情况:
  • 中国自然科学核心期刊,中国科学引文数据库来源期刊
  • 国内外数据库收录:
  • 俄罗斯文摘杂志,波兰哥白尼索引,荷兰文摘与引文数据库,美国剑桥科学文摘,英国科学文摘数据库,日本日本科学技术振兴机构数据库,中国中国科技核心期刊,中国北大核心期刊(2004版),中国北大核心期刊(2008版),中国北大核心期刊(2011版),中国北大核心期刊(2014版),中国北大核心期刊(2000版)
  • 被引量:23212