基于同源性的Android操作系统源代码静态检测结果的分析

摘要

静态检测工具分析源代码缺陷的两个难点问题是可靠性和完备性,特别是大型软件的代码,静态检测工具不可能从全方面进行分析,这会导致出现大量的误报和漏报.本文使用主流源代码静态检测工具对Android操作系统源代码进行检测,将结果经由同源性检测进行整合,设计Android源代码安全漏洞检测结果整合模型.首先分析市场上的静态检测工具的特点、侧重点、不同点、相同点,选取检测方法不同的两种商业工具.接着对这两种商业工具检测Android操作系统源代码后的结果,利用已建好的漏洞特征库,结合同源性检测技术,进行整合得到最终结果.最后通过和人工整合结果的对比分析,验证模型的有效性和准确性.