[发明专利]一种基于私有云平台的代码组成分析系统和方法

摘要

本发明公开了一种基于私有云平台的代码组成分析系统和方法，它涉及代码安全分析技术领域。本发明基于私有云计算的多任务并行高速处理平台，采用自动化的网络收集技术，通过在线收集构建代码知识库与知识图谱，使用代码混源技术，先识别混源代码的组成，如开源代码、闭源代码、恶意代码和可疑代码，再与代码安全漏洞关联，实现对代码安全的量化评估，构建混源代码组成量化分析评估体系，可准确量化软件代码组成，减少软件安全隐患，发现软件知识产权风险，科学评价软件自主化水平。

主权项

一种基于私有云平台的代码组成分析系统，其特征在于，包括项目管理子系统、代码分析子系统、分析评估子系统、代码收集子系统和代码知识库子系统；所述的代码收集子系统利用网络爬虫技术获取互联网代码和安全漏洞信息，提供持续在线、站点轮询和代码文件自动过滤的技术能力，实现对网络开源二进制代码和安全漏洞信息的高效抓取，实现代码和安全信息的持续、全面、自动的收集和存储；所述的代码收集子系统应用的关键技术包括：基于代码主题的互联网爬虫技术和知识库增量管理与冗余备份方法；所述的代码知识库子系统利用互联网收集到的代码和安全漏洞数据建立代码知识库，存储处理过后的代码多级特征，按危害的级管理安全漏洞，提供代码文件、代码多级特征、安全漏洞之间的数据关联能力，形成代码的大数据资源，构建代码知识图谱；所述的代码知识库子系统应用的关键技术包括：基于分级特征的知识图谱构建方法和软件代码安全风险知识管理技术；所述的代码分析子系统应用的关键技术包括：基于关键字的开源代码分析技术、混源代码多级特征分析与检测技术、变尺度滚动哈希二进制代码分析技术和基于反汇编的代码多级特征分析技术；所述的代码评估子系统负责对代码分析结果的量化评估和可视化展示，利用代码分析结果构建评估体系，根据选择度量元、获取评价指标、建立评估要素之间的相互关系，实现代码组成量化评估、许可证合规性评估、代码风险评估和代码自主化评估能力，并将上述量化评估结果以用户易理解的形式进行可视化展示；所述的代码评估子系统应用的关键技术包括：代码组成量化评估、代码许可证合规性评估、代码安全风险评估和软件代码自主化评估；所述的项目管理子系统根据代码分析组成任务管理需求，实现对用户进行角色密码管理、用户群组权限控制、代码版本和信息描述、源文件和特征分类存储、代码分析结果关联检索的能力。