一種基于缺陷分析的代碼安全性評(píng)價(jià)方法
【專利摘要】本發(fā)明提供了一種基于缺陷分析的代碼安全性評(píng)價(jià)方法,包括步驟1:獲取代碼缺陷WA的威脅程度DW;步驟2:構(gòu)建代碼缺陷庫(kù);步驟3:對(duì)代碼進(jìn)行量化分析;步驟4:獲取代碼的安全性量值TA。與現(xiàn)有技術(shù)相比,本發(fā)明提供的一種基于缺陷分析的代碼安全性評(píng)價(jià)方法,能夠全面的從代碼缺陷編寫產(chǎn)生、編寫預(yù)防以及代碼環(huán)境系數(shù)EVA中的編寫人員素質(zhì)的結(jié)果來量化評(píng)估代碼的安全性;提高了代碼安全性評(píng)價(jià)的精確度從而提高代碼的安全性以及增強(qiáng)應(yīng)用系統(tǒng)的整體安全性。
【專利說明】一種基于缺陷分析的代碼安全性評(píng)價(jià)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種代碼安全性評(píng)價(jià)方法,具體涉及一種基于缺陷分析的代碼安全性評(píng)價(jià)方法。
【背景技術(shù)】
[0002]隨著信息化建設(shè)的逐漸深入,信息安全攻擊趨勢(shì)也發(fā)生了變化,從以往的攻擊系統(tǒng)和網(wǎng)絡(luò)向攻擊應(yīng)用系統(tǒng)進(jìn)行轉(zhuǎn)變。根據(jù)國(guó)際權(quán)威咨詢機(jī)構(gòu)Gartner統(tǒng)計(jì),目前75%的信息安全攻擊均發(fā)生在應(yīng)用系統(tǒng)層面而并非系統(tǒng)和網(wǎng)絡(luò)層面上,網(wǎng)絡(luò)中常見的攻擊已經(jīng)由傳統(tǒng)的系統(tǒng)漏洞攻擊逐漸發(fā)展演變?yōu)閷?duì)應(yīng)用自身弱點(diǎn)的攻擊。其中,應(yīng)用系統(tǒng)自身的弱點(diǎn)和缺陷主要是由于開發(fā)人員在編碼時(shí)沒有注意編寫代碼的安全而引起的。
[0003]由于應(yīng)用系統(tǒng)的種類和功能越來越繁多,導(dǎo)致其代碼規(guī)模也越來越大,代碼的安全性成為日益突出的安全性問題?,F(xiàn)有技術(shù)中對(duì)代碼安全性進(jìn)行檢測(cè)的工具更多的是對(duì)代碼存在多少缺陷的檢測(cè),并沒有對(duì)整個(gè)代碼的安全性進(jìn)行評(píng)估,例如=Fortify代碼安全檢測(cè)工具雖然能夠提示出代碼的安全等級(jí),但其僅包括高中低三種安全等級(jí)。
[0004]同時(shí)不同的代碼安全缺陷研究組織,如CWE、Nist、OWASP等,對(duì)代碼安全缺陷的描述方法不同,并沒有統(tǒng)一的代碼安全缺陷分類方法,從而增加了應(yīng)用系統(tǒng)整體代碼的安全性評(píng)估的復(fù)雜性和難度。
[0005]因此,為了提高現(xiàn)有代碼安全性評(píng)價(jià)方法,對(duì)于代碼安全性進(jìn)行評(píng)價(jià)過于泛化,弓丨進(jìn)的評(píng)價(jià)因子過于缺少的局限性,提供一種代碼安全性評(píng)價(jià)方法顯得尤為重要。
【發(fā)明內(nèi)容】
[0006]為了滿足現(xiàn)有技術(shù)的需要,本發(fā)明提供了一種基于缺陷分析的代碼安全性評(píng)價(jià)方法,所述方法包括下述步驟:
[0007]步驟1:獲取代碼缺陷WA的威脅程度DW ;
[0008]步驟2:構(gòu)建代碼缺陷庫(kù);
[0009]步驟3:對(duì)代碼進(jìn)行量化分析;
[0010]步驟4:獲取所述代碼的安全性量值TA。
[0011]優(yōu)選的,依據(jù)代碼缺陷分類設(shè)置代碼缺陷威脅程度屬性Damage,從而獲取所述威脅程度DW;所述代碼缺陷WA = (A1, A2,...A1...AJ ;所述威脅程度DW =(D1, D2,...D1...DJ ;所述威脅程度DW與所述代碼缺陷WA之間一一對(duì)應(yīng);
[0012]優(yōu)選的,通過Fortify建立代碼缺陷分類,包括嚴(yán)重風(fēng)險(xiǎn)類缺陷Critical、高風(fēng)險(xiǎn)類缺陷Hight、中風(fēng)險(xiǎn)類缺陷Medium和低風(fēng)險(xiǎn)類缺陷Low ;
[0013]優(yōu)選的,依據(jù)所述威脅程度DW和人工影響指數(shù)PEA構(gòu)建代碼缺陷庫(kù);
[0014]所述人工影響指數(shù)PEA為編程人員對(duì)所述代碼缺陷采用的處理方式對(duì)所述威脅程度Dff的影響值;所述人工影響指數(shù)PEA = (PEA1, PEA2,...PEA1...PEAJ ;所述人工影響指數(shù)PEA與所述代碼缺陷WA之間——對(duì)應(yīng);[0015]優(yōu)選的,所述步驟3中的代碼量化分析包括:
[0016]步驟3-1:獲取所述嚴(yán)重風(fēng)險(xiǎn)類缺陷Critical的數(shù)量值Cn、所述高風(fēng)險(xiǎn)類缺陷Hight的數(shù)量值Hn、所述中風(fēng)險(xiǎn)類缺陷Medium的數(shù)量值Mn和所述低風(fēng)險(xiǎn)類缺陷Low的數(shù)量值Ln ;
[0017]步驟3-2:通過所述威脅程度DW、所述人工影響指數(shù)PEA、所述數(shù)量值Cn、所述數(shù)量值Hn、所述數(shù)量值Mn和所述數(shù)量值Ln分別計(jì)算所述嚴(yán)重風(fēng)險(xiǎn)類缺陷Critcal的威脅量化值Tc、所述高風(fēng)險(xiǎn)類缺陷Hight的威脅量化值TH、所述中風(fēng)險(xiǎn)類缺陷Medium的威脅量化值Tm和所述低風(fēng)險(xiǎn)類缺陷Low的威脅量化值IY ;
【權(quán)利要求】
1.一種基于缺陷分析的代碼安全性評(píng)價(jià)方法,其特征在于,所述方法包括下述步驟: 步驟1:獲取代碼缺陷WA的威脅程度DW ; 步驟2:構(gòu)建代碼缺陷庫(kù); 步驟3:對(duì)代碼進(jìn)行量化分析; 步驟4:獲取所述代碼的安全性量值TA。
2.如權(quán)利要求1所述的一種基于缺陷分析的代碼安全性評(píng)價(jià)方法,其特征在于,依據(jù)代碼缺陷分類設(shè)置代碼缺陷威脅程度屬性Damage,從而獲取所述威脅程度DW ;所述代碼缺陷WA = (A1, A2,…A1...AJ ;所述威脅程度Dff = (D1, D2,…D1...Dj ;所述威脅程度Dff與所述代碼缺陷WA之間——對(duì)應(yīng)。
3.如權(quán)利要求1所述的一種基于缺陷分析的代碼安全性評(píng)價(jià)方法,其特征在于,通過Fortify建立代碼缺陷分類,包括嚴(yán)重風(fēng)險(xiǎn)類缺陷Critical、高風(fēng)險(xiǎn)類缺陷Hight、中風(fēng)險(xiǎn)類缺陷Medium和低風(fēng)險(xiǎn)類缺陷Low。
4.如權(quán)利要求1所述的一種基于缺陷分析的代碼安全性評(píng)價(jià)方法,其特征在于,依據(jù)所述威脅程度DW和人工影響指數(shù)PEA構(gòu)建代碼缺陷庫(kù); 所述人工影響指數(shù)PEA為編程人員對(duì)所述代碼缺陷采用的處理方式對(duì)所述威脅程度Dff的影響值;所述人工影響指數(shù)PEA = (PEA1, PEA2,...PEA1...PEAJ ;所述人工影響指數(shù)PEA與所述代碼缺陷WA之間——對(duì)應(yīng)。
5.如權(quán)利要求1所述的一種基于缺陷分析的代碼安全性評(píng)價(jià)方法,其特征在于,所述步驟3中的代碼量化分析包括: 步驟3-1:獲取所述嚴(yán)重風(fēng)險(xiǎn)類缺陷Critical的數(shù)量值Cn、所述高風(fēng)險(xiǎn)類缺陷Hight的數(shù)量值Hn、所述中風(fēng)險(xiǎn)類缺陷Medium的數(shù)量值Mn和所述低風(fēng)險(xiǎn)類缺陷Low的數(shù)量值Ln ; 步驟3-2:通過所述威脅程度DW、所述人工影響指數(shù)PEA、所述數(shù)量值Cn、所述數(shù)量值Hn、所述數(shù)量值Mn和所述數(shù)量值Ln分別計(jì)算所述嚴(yán)重風(fēng)險(xiǎn)類缺陷Critical的威脅量化值Tc、所述高風(fēng)險(xiǎn)類缺陷Hight的威脅量化值TH、所述中風(fēng)險(xiǎn)類缺陷Medium的威脅量化值Tm和所述低風(fēng)險(xiǎn)類缺陷Low的威脅量化值IY ;
6.如權(quán)利要求1所述的一種基于缺陷分析的代碼安全性評(píng)價(jià)方法,其特征在于,所述步驟4中獲取代碼的安全性量值Ta包括: 步驟4-1:獲取所述編程人員影響系數(shù)PT;所述
【文檔編號(hào)】G06F11/36GK104008057SQ201410262288
【公開日】2014年8月27日 申請(qǐng)日期:2014年6月13日 優(yōu)先權(quán)日:2014年6月13日
【發(fā)明者】范杰, 石聰聰, 郭騫, 高鵬, 李尼格, 蔣誠(chéng)智, 俞庚申, 馮谷, 余勇, 曹宛恬, 鮑興川 申請(qǐng)人:國(guó)家電網(wǎng)公司, 中國(guó)電力科學(xué)研究院