[发明专利]针对代码检测结果的审计方法和装置

说明书

本发明公开了一种针对代码检测结果的审计方法和装置，涉及人工智能技术领域。该方法的一具体实施方式包括：获取代码检测工具针对目标代码的检测结果；其中，所述检测结果中包括所述代码检测工具检测出的至少一个初始问题的详情数据；从每一初始问题的详情数据中提取该初始问题的特征数据，将每一初始问题的特征数据输入预先训练的误报判别模型，根据所述误报判别模型的输出结果确定所述初始问题中的误报问题；将所述初始问题中的误报问题去除以实现对所述检测结果的审计。该实施方式能够基于人工智能技术自动判别代码检测工具输出的检测结果中的误报问题，从而提高审计效率。

技术领域

本发明涉及人工智能技术领域，尤其涉及一种针对代码检测结果的审计方法和装置。

背景技术

代码检测(也称为代码安全扫描)作为IT系统安全测试中的一项重要安全检测手段，越来越受到业界的重视。代码检测核心为源代码分析技术，包括数据流分析、状态机系统、边界检测、数据类型验证、控制流分析等技术。随着计算机语言的不断演进，代码检测技术也在日趋完善，在不同的细分领域，出现了很多源代码分析产品(即代码检测工具)，如Klocwork Insight、Coverity、Fortify和Checkmarx等。代码检测工具目前均在静态进行代码扫描，所有的检测均是按照“规则”来进行，任何一款产品都不可能达到真正的零误报(误报指的是将无安全缺陷漏洞的代码评估为问题代码)、零漏报(漏报指的是未检测出本来存在安全缺陷漏洞的代码)。

各种产品都会有一定的误报率，特别是针对商业银行系统，为了确保系统的安全性，一般尽可能增加规则，减少漏报，与此同时，就会来带更多的误报。通常代码审计人员和开发人员需要花费大量的人力和时间对代码检测工具输出的检测结果进行人工审计以去除检测结果中的误报问题，因此没有充足的精力去解决其它具有重大安全风险的问题。同时，不同代码审计人员的代码审计水平存在差异，容易因存在认知上的误判以及操作过程中的偶然失误将有安全风险的问题错误判定为误报，影响审计质量。

发明内容

有鉴于此，本发明实施例提供一种针对代码检测结果的审计方法和装置，能够基于人工智能技术自动判别代码检测工具输出的检测结果中的误报问题，从而提高审计效率。

为实现上述目的，根据本发明的一个方面，提供了一种针对代码检测结果的审计方法。

本发明实施例的针对代码检测结果的审计方法包括：获取代码检测工具针对目标代码的检测结果；其中，所述检测结果中包括所述代码检测工具检测出的至少一个初始问题的详情数据；从每一初始问题的详情数据中提取该初始问题的特征数据，将每一初始问题的特征数据输入预先训练的误报判别模型，根据所述误报判别模型的输出结果确定所述初始问题中的误报问题；将所述初始问题中的误报问题去除以实现对所述检测结果的审计。

可选地，所述误报判别模型包括：基于不同机器学习算法的第一误报鉴别模型和第二误报鉴别模型。

可选地，所述将每一初始问题的特征数据输入预先训练的误报判别模型，根据所述误报判别模型的输出结果确定所述初始问题中的误报问题，包括：将每一初始问题的特征数据输入预先训练的第一误报鉴别模型，将第一误报鉴别模型的正向输出结果对应的初始问题确定为误报问题，将第一误报鉴别模型的负向输出结果对应的初始问题确定为第一待定问题。

可选地，所述将每一初始问题的特征数据输入预先训练的误报判别模型，根据所述误报判别模型的输出结果确定所述初始问题中的误报问题，进一步包括：将每一第一待定问题的特征数据输入预先训练的第二误报鉴别模型，将第二误报鉴别模型的正向输出结果对应的第一待定问题确定为误报问题，将第二误报鉴别模型的负向输出结果对应的第一待定问题确定为第二待定问题。

可选地，所述审计方法进一步包括：在所述将所述初始问题中的误报问题去除之后，通过人工审计方式确定所述第二待定问题中的误报问题并去除；其中，去除该误报问题后的第二待定问题为非误报问题。