[发明专利]一种用于FPR的软件包代码缺陷数据处理方法、系统及介质

说明书

本发明公开了一种用于FPR的软件包代码缺陷数据处理方法、系统及介质，软件包代码缺陷数据处理方法实施步骤包括：输入基于FPR文件得到的PDF格式的Fortify扫描报告；将PDF格式的Fortify扫描报告转换为易处理的文本格式；针对转换为文本格式的Fortify扫描报告进行数据预处理去冗余；针对去冗余后的文本格式的Fortify扫描报告逐条提取缺陷信息并将其持久化存储到本地数据库；针对持久化存储到本地数据库的缺陷信息进行数据可视化从多个维度对缺陷数据进行统计分析并输出统计分析结果。本发明具有通用性好、准确率高、处理效率高的优点。

技术领域

本发明涉及大规模软件代码缺陷的管理和分析领域，具体涉及一种用于FPR（Fortify Project Report，Fortify扫描报告）的软件包代码缺陷数据处理方法、系统及介质。

背景技术

代码质量对于软件的安全可靠及稳定运行十分重要。操作系统、数据库管理系统等软件的代码具有大规模的特点。以通用操作系统为例，内核代码往往达数百至数千万行，而且还在持续增长。在这些大规模软件的开发、调试和使用过程中，不可避免地会出现由于软件设计或编码缺陷等因素而导致的系统无法正常工作及安全性、可靠性受到影响的情况。另一方面，随着网络技术的不断发展，开源软件的影响力逐渐增加，近年来，越来越多的软件使用开源组件以提高软件开发效率；开源组件经验证、修改后纳入大规模软件研制，若被复用开源代码组件中存在脆弱点,那么其脆弱性往往会引入目标软件产品中。对于应用于关键领域中的软件，一旦出现故障或缺陷，会导致软件安装或运行出错，往往使得重要业务或实验失败，导致重大经济损失。为减少软件中存在的安全等缺陷，越来越多的软件安全检测产品厂商也已经在考虑关注软件开发的整个流程，将安全检测与监测融入需求分析、概要设计、详细设计、编码、测试等各个阶段以全面的保证软件的安全及正确性。

安全性检测目前大多数是通过测试的方式来实现。测试大体上分为黑盒测试和白盒测试两种。黑盒测试一般使用的是渗透的方法，这种方法仍然带有明显的黑盒测试本身的不足，需要大量的测试用例来进行覆盖，且测试完成后仍无法保证软件是否仍然存在风险。现在白盒测试中源代码扫描越来越成为一种流行的技术，使用源代码扫描产品对软件进行代码扫描，一方面可以找出潜在的风险，从内对软件进行检测，提高代码的安全性，另一方面也可以进一步提高代码的质量。黑盒的渗透测试和白盒的源代码扫描内外结合，可以使得软件的安全性得到很大程度的提高。