基于数据依赖图聚类的开源软件静态分析系统

摘要

近年来,开源软件在IT领域中发挥的作用越来越重要。然而,开源软件通常由多方共同开发,安全性很难得到有效的审查,往往存在大量的安全漏洞。为此,文中提出基于代码不一致性分析的开源软件漏洞检测方法,基于该方法并结合图聚类算法设计了面向开源软件的静态分析系统。系统将目标源代码进行编译并抽象成程序依赖图,对基本的程序依赖图进行抽象,构造出数据依赖图,并在此基础上使用图神经网络进行聚类,检验代码相似性,通过对聚类结果进行过滤,可以有效筛选出疑似漏洞。此外,本系统不需要外部数据集,仅通过开源软件自身的代码就可以进行安全漏洞检测。利用三个C语言开源软件作为测试数据,对系统进行了测试,结果表明,在少量的人工辅助分析基础上,该系统能够快速有效地发现开源软件中的多种漏洞。