[发明专利]一种基于私有云平台的代码组成分析系统和方法

说明书

本发明公开了一种基于私有云平台的代码组成分析系统和方法，它涉及代码安全分析技术领域。本发明基于私有云计算的多任务并行高速处理平台，采用自动化的网络收集技术，通过在线收集构建代码知识库与知识图谱，使用代码混源技术，先识别混源代码的组成，如开源代码、闭源代码、恶意代码和可疑代码，再与代码安全漏洞关联，实现对代码安全的量化评估，构建混源代码组成量化分析评估体系，可准确量化软件代码组成，减少软件安全隐患，发现软件知识产权风险，科学评价软件自主化水平。

技术领域

本发明涉及的是代码安全分析技术领域，具体涉及一种基于私有云平台的代码组成分析系统和方法。

背景技术

随着信息化建设的发展，软件作为信息化建设的核心组成要素，其所占的比重会越来越大。软件开发已经从知识密集型向劳动密集型行业转化，软件代码复用、功能模块化、开源代码使用、第三方插件应用等快速开发方法已成为普遍现象，软件的安全性风险日益增大。开展自主代码组成分析技术研究，解决软件开源代码、第三方插件、私有代码重用所带来的合规性、安全性、自主可控性等方面的风险，已成为我国当前信息化建设中需迫切解决的重要问题。目前，对海量软件进行代码审计，将成为科研订购部门、试验鉴定部门、软件测评中心等部门的重点工作之一，建设完善的用于支撑工作开展的软件代码组成分析系统已成为迫切需求。

综上所述，本发明设计了一种基于私有云平台的代码组成分析系统和方法。

发明内容

针对现有技术上存在的不足，本发明目的是在于提供一种基于私有云平台的代码组成分析系统和方法，基于私有云计算的多任务并行高速处理平台，采用自动化的网络收集技术，通过在线收集构建代码知识库与知识图谱，使用代码混源技术，先识别混源代码的组成，如开源代码、闭源代码、恶意代码和可疑代码，再与代码安全漏洞关联，实现对代码安全的量化评估，构建混源代码组成量化分析评估体系，可准确量化软件代码组成，减少软件安全隐患，发现软件知识产权风险，科学评价软件自主化水平。

为了实现上述目的，本发明是通过如下的技术方案来实现：一种基于私有云平台的代码组成分析系统，包括项目管理子系统、代码分析子系统、分析评估子系统、代码收集子系统和代码知识库子系统；

所述的代码收集子系统利用网络爬虫技术获取互联网代码和安全漏洞信息，提供持续在线、站点轮询和代码文件自动过滤等技术能力，实现对网络开源二进制代码和安全漏洞信息的高效抓取，实现代码和安全信息的持续、全面、自动的收集和存储。

所述的代码收集子系统应用的关键技术包括：基于代码主题的互联网爬虫技术和知识库增量管理与冗余备份方法。

所述的代码知识库子系统利用互联网收集到的代码和安全漏洞数据建立代码知识库，存储处理过后的代码多级特征，按危害等级管理安全漏洞，提供代码文件、代码多级特征、安全漏洞之间的数据关联能力，形成代码的大数据资源，构建代码知识图谱。

所述的代码知识库子系统应用的关键技术包括：基于分级特征的知识图谱构建方法和软件代码安全风险知识管理技术。

所述的代码分析子系统应用的关键技术包括：基于关键字的开源代码分析技术、混源代码多级特征分析与检测技术、变尺度滚动哈希二进制代码分析技术和基于反汇编的代码多级特征分析技术。

所述的代码评估子系统负责对代码分析结果的量化评估和可视化展示，利用代码分析结果构建评估体系，根据选择度量元、获取评价指标、建立评估要素之间的相互关系，实现代码组成量化评估、许可证合规性评估、代码风险评估和代码自主化评估能力，并将上述量化评估结果以用户易理解的形式进行可视化展示。

所述的代码评估子系统应用的关键技术包括：代码组成量化评估、代码许可证合规性评估、代码安全风险评估和软件代码自主化评估。