作者投稿和查稿 主编审稿 专家审稿 编委审稿 远程编辑

计算机工程 ›› 2010, Vol. 36 ›› Issue (17): 51-53,56. doi: 10.3969/j.issn.1000-3428.2010.17.018

• 软件技术与数据库 • 上一篇    下一篇

上下文相关的软件漏洞模式自动提取方法

唐艳武,蒋 凡   

  1. (中国科学技术大学计算机科学与技术学院,合肥 230027)
  • 出版日期:2010-09-05 发布日期:2010-09-02
  • 作者简介:唐艳武(1987-),男,硕士研究生,主研方向:软件测试,软件安全;蒋 凡,教授
  • 基金资助:
    国家“863”计划基金资助项目(2009AA01Z145)

Automatic Extraction Method for Context-sensitive Software Bug Pattern

TANG Yan-wu, JIANG Fan   

  1. (School of Computer Science and Technology, University of Science and Technology of China, Hefei 230027)
  • Online:2010-09-05 Published:2010-09-02

摘要: 针对自动提取软件漏洞模式方法对漏洞模式的描述不太精确的问题,提出利用软件的程序依赖图表示上下文相关的软件漏洞模式。通过从软件开发历史库中提取相邻版本进行自动比对,生成与修补对应的依赖子图表示漏洞模式。对开源软件Apache代码库进行实验,获得316个有效漏洞模式,利用它们在Apache2.2.8中查找并进行人工分析,确认得到13处未知可疑漏洞,证明了该方法的有效性。

关键词: 程序依赖图, 漏洞模式, 软件修改历史, 语义修改

Abstract: Aiming at the problem of imprecise descriptions for bug patterns in automatic bug pattern extraction methods, this paper uses Program Dependence Graph(PDG) to descript context-sensitive bug patterns. It gives an automatic method to extract bug patterns induced by bug fix, by comparing adjacent software versions. The method is applied to the Apache project, and 316 valid bug patterns are extracted. 13 suspicious unknown bugs are found after inspecting Apache version 2.2.8 with these patterns, which proves the effectiveness of the method.

Key words: Program Dependence Graph(PDG), bug pattern, software revision history, Semantic Changes(SC)

中图分类号: