孫麗

摘要：隨著近幾年的實戰(zhàn)攻防演練的強(qiáng)度增加以及拍打力度的增強(qiáng)，源代碼檢測技術(shù)迄今為止仍是有待解決的重要問題。不同于軟件缺陷，源代碼漏洞更加難以識別和修復(fù)。文章從源代碼安全的必要性、軟件供應(yīng)鏈安全的安全風(fēng)險和不可控風(fēng)險出發(fā)，重點闡述了源代碼檢測的技術(shù)原理、技術(shù)難點以及目前國產(chǎn)源代碼的技術(shù)突破，同時對“安全左移”的具體落實提出建設(shè)性意見。

關(guān)鍵詞：源代碼安全；網(wǎng)絡(luò)安全；軟件供應(yīng)鏈安全；源代碼檢測技術(shù)；安全左移

中圖分類號：TP 399? 文獻(xiàn)標(biāo)志碼：A

0 引言

隨著近幾年國家對網(wǎng)絡(luò)安全的重視及《中華人民共和國網(wǎng)絡(luò)安全法》的發(fā)布，伴隨著各種攻防演練、護(hù)網(wǎng)行動的開展，等級保護(hù)測評工作、密碼測評工作、風(fēng)險評估工作的落實，網(wǎng)絡(luò)“安全左移”已是志在必行。源代碼安全已成為網(wǎng)絡(luò)安全中不可或缺的一分子。研究源代碼檢測分析技術(shù)與應(yīng)用的問題隨之呈現(xiàn)。源代碼檢測分析技術(shù)可以實現(xiàn)對程序本身的缺陷進(jìn)行檢測，從而提高軟件的安全性。本文從研究源代碼檢測技術(shù)的目的——源代碼安全的必要性出發(fā)，分析了源代碼因軟件供應(yīng)鏈問題而存在的安全風(fēng)險，進(jìn)而對源代碼檢測的技術(shù)要點和技術(shù)難點進(jìn)行探討，對“安全左移”提出建設(shè)性意見。

1 關(guān)注源代碼安全的必要性

1.1 法律法規(guī)驅(qū)動

《中華人民共和國網(wǎng)絡(luò)安全法》中第二十一條國家實行網(wǎng)絡(luò)安全等級保護(hù)制度，第二十六條開展網(wǎng)絡(luò)安全認(rèn)證、檢測、風(fēng)險評估等活動，向社會發(fā)布系統(tǒng)漏洞、計算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息，應(yīng)當(dāng)遵守國家有關(guān)規(guī)定。《中華人民共和國網(wǎng)絡(luò)安全法》于2016年11月7日發(fā)布，2017年6月1日起施行，共7章、79條，對企事業(yè)單位來說，有38條明確規(guī)范義務(wù)?！禛B/T 28448—2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求》中安全建設(shè)管理在軟件開發(fā)過程中對安全性進(jìn)行測試、軟件安裝前對可能存在的惡意代碼進(jìn)行檢測；外包軟件開發(fā)應(yīng)保證開發(fā)單位提供軟件源代碼，審查軟件中可能存在的后門和隱蔽信道。隨著法規(guī)、政策的完善，“安全左移”刻不容緩。

1.2 內(nèi)部需求驅(qū)動

隨著近幾年的實戰(zhàn)攻防演練的強(qiáng)度增加以及拍打力度的增強(qiáng)，對開發(fā)單位的系統(tǒng)健全性的要求越來越高。其主要分為以下兩個方面：（1）提升開發(fā)過程安全性。在軟件開發(fā)生命周期全程對安全缺陷進(jìn)行管控，從而提升軟件本身的安全能力，減輕應(yīng)用上線后給安全運行帶來的壓力。（2）加強(qiáng)實戰(zhàn)對抗能力。當(dāng)前安全形勢對快速響應(yīng)漏洞的發(fā)現(xiàn)及修補(bǔ)提出了更高要求。在系統(tǒng)上線前解決漏洞問題，系統(tǒng)才具備更好的健全性及實戰(zhàn)對抗能力。

1.3 管理成本驅(qū)動

美國國家標(biāo)準(zhǔn)與技術(shù)研究院NIST曾發(fā)布“系統(tǒng)建設(shè)不同階段問題處理成本”模型，需求分析及設(shè)計階段的問題成本為1，編碼階段為5，集成測試階段為10，系統(tǒng)驗收測試階段為15，發(fā)布階段為30。顯而易見，從節(jié)省人員成本和提升工作效率的角度，源代碼的安全值得關(guān)注。

2 關(guān)注軟件供應(yīng)鏈安全是源代碼安全的基礎(chǔ)

據(jù)美國Synopsys公司《2021年開源安全和風(fēng)險分析報告》統(tǒng)計：98%的代碼庫包中含開源代碼，73%的代碼由開源代碼構(gòu)成，84%的代碼庫至少有一個漏洞，65%的代碼庫存在許可證沖突。開源軟件已成為軟件開發(fā)的核心要素，但也引入了多種風(fēng)險。同時，部分公司在一些開源軟件的基礎(chǔ)上進(jìn)行簡單“加工”而形成所謂自主可控的產(chǎn)品，并不清楚其產(chǎn)品涵蓋哪些源代碼。軟件開發(fā)者缺少攻擊者的思維方式，對核心代碼的維護(hù)能力極低。如果此類產(chǎn)品應(yīng)用于一些關(guān)鍵領(lǐng)域，那么會帶來安全隱患，從而對“自主可控”造成威脅。

2021年7月，著名IT管理軟件供應(yīng)商Kaseya發(fā)生供應(yīng)鏈攻擊，攻擊者利用了Kaseya的虛擬系統(tǒng)管理員 （VSA） 技術(shù)中的3個漏洞。許多托管服務(wù)提供商 （MSPs） 都會使用這種技術(shù)來管理其客戶網(wǎng)絡(luò)。這導(dǎo)致攻擊者在托管服務(wù)提供商下游客戶的數(shù)千個系統(tǒng)上分發(fā)勒索軟件。此事件波及17個國家上千家企業(yè)和機(jī)構(gòu)的上百萬臺設(shè)備被加密，索要贖金高達(dá)7 000萬美元，是迄今為止規(guī)模最大的供應(yīng)鏈?zhǔn)录?/p>

總體來說，軟件供應(yīng)鏈的安全風(fēng)險和不可控風(fēng)險并存，安全風(fēng)險分為軟件漏洞、軟件后門、惡意篡改、信息泄露、供應(yīng)鏈劫持5點；不可控風(fēng)險分為服務(wù)停止、技術(shù)出口管制、開源變閉源3點。

2.1 軟件自身漏洞

在軟件產(chǎn)品原生開發(fā)過程中產(chǎn)生的及次開發(fā)從上游繼承的軟件漏洞，主要是開發(fā)能力、管理水平不足引發(fā)的。2021年12月披露的Apache Log4i遠(yuǎn)程代碼執(zhí)行漏洞，存在遞歸解析功能。攻擊者可直接構(gòu)造惡意請求，觸發(fā)遠(yuǎn)程代碼執(zhí)行該漏洞。2021年12月，log4j2JndiRCECVE-2021-44228漏洞被爆出。當(dāng)程序?qū)⒂脩糨斎氲臄?shù)據(jù)進(jìn)行日志記錄時，即可觸發(fā)此漏洞。攻擊者利用此漏洞可以在目標(biāo)服務(wù)器上執(zhí)行任意代碼。該漏洞影響多達(dá)60 644個開源軟件，涉及相關(guān)版本軟件包高達(dá)340 657個。本次漏洞的觸發(fā)模式簡單且成本極低，是一場Java生態(tài)的浩劫。

2.2 人為惡意代碼植入

人為惡意代碼植入是指為達(dá)到某種目的對正常軟件功能進(jìn)行修改的行為。該行為包括3種類型：源代碼植入、開發(fā)工具植入、供應(yīng)信息篡改。2020年，GitHub發(fā)現(xiàn)其平臺上26個Java集成開發(fā)環(huán)境相關(guān)開源代碼庫被植入惡意代碼。代碼隨開發(fā)者下載使用激活后竊取平臺技術(shù)秘密。

2.3 軟件惡意后門

供方出于軟件維護(hù)的目的在軟件產(chǎn)品中預(yù)置后門，或為滿足國家的需要，為國家安全部門預(yù)留一些“接口”，方便獲取用戶敏感數(shù)據(jù)、控制用戶系統(tǒng)運行等，如被曝光的“棱鏡門”。

2.4 供應(yīng)鏈劫持

供應(yīng)鏈劫持是普遍存在的供應(yīng)鏈污染，涵蓋整個軟件開發(fā)生命周期，包括需求設(shè)計階段、編碼階段、集成測試階段、系統(tǒng)驗收階段、系統(tǒng)運行維護(hù)升級階段。供應(yīng)鏈劫持安全風(fēng)險突出，涉及捆綁惡意代碼、下載劫持、網(wǎng)絡(luò)劫持、物流鏈劫持、升級劫持等。

2.5 開源許可證違規(guī)使用

軟件產(chǎn)品發(fā)布時缺少開源許可證類型，或軟件產(chǎn)品發(fā)布時不符合相應(yīng)許可協(xié)議的規(guī)范和要求。使用開源軟件，應(yīng)當(dāng)遵守其許可證的要求，否則視為違規(guī)使用開源軟件。

2.6 上游供應(yīng)中斷

（1）技術(shù)出口管制導(dǎo)致開源軟件相關(guān)服務(wù)被禁，開源代碼托管平臺被禁。2021年8月13日，Docker聲明禁止“禁運國家”和被列入美國“實體清單”的組織和個人使用遵循該服務(wù)協(xié)議的公共鏡像存儲服務(wù)DockerHub。2022年3月2日，GitHub 官方稱將遵守美國政府的相關(guān)規(guī)定，嚴(yán)格限制俄羅斯通過GitHub獲得其維持軍事能力所需的技術(shù)和其他物品。（2）開源變閉源。開源軟件在某版本后不再提供開源代碼，或者由于缺少投入，維護(hù)不及時、不到位，開源項目不能穩(wěn)定發(fā)展甚至終止。（3）停服風(fēng)險。巨頭企業(yè)為其利益改變既定開源規(guī)則或商業(yè)模式，導(dǎo)致開源項目停止更新維護(hù)。Linux系統(tǒng)如表1所示。

2.7 敏感信息泄露

軟件供應(yīng)鏈信息被有意或無意地泄露在用戶不知情的情況下，軟件產(chǎn)品產(chǎn)生的數(shù)據(jù)、流程等全部或部分被泄露到用戶可控范圍外。網(wǎng)絡(luò)地下黑產(chǎn)猖獗，當(dāng)前各行業(yè)部門和企事業(yè)單位大量收集存儲公民個人信息、地理位置等數(shù)據(jù)，但在數(shù)據(jù)使用上重收集、輕防護(hù)，導(dǎo)致其大量外泄。網(wǎng)絡(luò)數(shù)據(jù)黑市幾乎囊括了吃穿住行等方方面面。近期，南京公安機(jī)關(guān)偵破的一起侵犯公民個人信息案中，犯罪分子在云盤存儲上百億條公民個人信息，其中包括銀行賬戶余額等高隱私信息。

2.8 建立開源軟件應(yīng)用規(guī)則的急迫性

軟件供應(yīng)鏈的安全風(fēng)險和不可控風(fēng)險是并存的，這就體現(xiàn)了建立開源軟件應(yīng)用規(guī)則的重要性。在開源技術(shù)引入前期，對其進(jìn)行全面、詳盡、科學(xué)的風(fēng)險檢查與評估，符合規(guī)定的才能被企業(yè)引入，為開發(fā)所用，不符合的需要杜絕，從源頭上降低風(fēng)險引入。

企業(yè)需要全面建設(shè)DevSecOps能力，在傳統(tǒng)的安全左移基礎(chǔ)之上增強(qiáng)軟件成分分析能力，具備組件文件、代碼片段等不同粒度的分析、溯源、風(fēng)險檢查能力，更需把開源技術(shù)的八大類風(fēng)險均實現(xiàn)左移。

DevSecOps主要的目標(biāo)是建設(shè)一套自動化風(fēng)險檢查、評估與智能管理系統(tǒng)。該系統(tǒng)需要貫穿軟件開發(fā)的全生命周期，包括技術(shù)選型、軟件開發(fā)、軟件測試、軟件上線運維以及軟件停服下線等階段。本設(shè)計在不同階段，給企業(yè)提供不同能力，做到全面的風(fēng)險左移、可知可控。

3 國產(chǎn)源代碼檢測新技術(shù)特點

3.1 傳統(tǒng)的檢測手段

傳統(tǒng)的代碼檢測分析技術(shù)其實就是靜態(tài)漏洞檢測技術(shù)，用來分析代碼在運行過程當(dāng)中的詞法、語法以及語義，這是一個常見的檢測手段。同時，它會配合數(shù)據(jù)流的分析和污點分析等技術(shù)，也就是常說的污點追蹤。當(dāng)一個數(shù)據(jù)進(jìn)來后，此技術(shù)可能要對其進(jìn)行持續(xù)的跟蹤，研究其最終是否被利用。技術(shù)人員會對程序代碼進(jìn)行抽象和建模，最終抽象成一個數(shù)據(jù)結(jié)構(gòu)，從而對其中的缺陷進(jìn)行分析，主要分析程序中的數(shù)據(jù)依賴（數(shù)值等應(yīng)用）、控制依賴（條件控制）、變量受污染的狀態(tài)信息。此技術(shù)通過內(nèi)置的安全規(guī)則或是模式匹配等方式來挖掘程序代碼中存在的漏洞。這種技術(shù)是非常常見的，也是目前主流的商業(yè)工具中比較常用的一種手段，其一是算法相對比較成熟，其二是在檢速率、可控性方面比較優(yōu)異。

3.2 新型的檢測手段

隨著人工智能的發(fā)展，機(jī)器學(xué)習(xí)在代碼檢測的應(yīng)用過程中變得越來越廣泛。機(jī)器學(xué)習(xí)在代碼檢測過程中主要是對代碼進(jìn)行解析，把代碼看成是一種文本，或者把代碼進(jìn)行程序切片，從而保留與代碼漏洞檢測相關(guān)的信息，把無關(guān)的代碼信息全部剔除；采用詞嵌入等技術(shù)將源代碼的中間表示或是切片映射到具體的向量空間；此技術(shù)借助機(jī)器學(xué)習(xí)或深度學(xué)習(xí)模型中強(qiáng)大的大數(shù)據(jù)挖掘能力，學(xué)習(xí)源代碼所蘊含的各類信息，包括控制依賴和數(shù)據(jù)依賴的信息，進(jìn)而實現(xiàn)漏洞檢測?？砂褌鹘y(tǒng)靜態(tài)檢測方法中提取源代碼污點變量的傳播情況、凈化函數(shù)的有效性等信息應(yīng)用到機(jī)器學(xué)習(xí)中，豐富模型學(xué)習(xí)的知識空間，從而獲得性能更好的檢測模型。

機(jī)器學(xué)習(xí)在學(xué)術(shù)研究中可能有較多涉及，而在實際的生產(chǎn)過程中，其僅在幾類特定的缺陷或某類特定的語言中效果甚佳。在大規(guī)模的語言還有海量的數(shù)據(jù)方面，由于數(shù)據(jù)及語言特性的限制，機(jī)器學(xué)習(xí)還處于研究中。目前，機(jī)器學(xué)習(xí)的商業(yè)化產(chǎn)品最典型的是美國一家公司所研發(fā)的DeepCode，但其一期的能力僅局限于規(guī)范的檢測，對于這種深度的缺陷挖掘，其能力不夠成熟。

3.3 基于代碼檢測分析技術(shù)目標(biāo)不同的分類

代碼檢測分析技術(shù)的目標(biāo)通常是分為兩類：（1）檢測目標(biāo)為源代碼。面向源代碼的靜態(tài)分析以程序的源代碼作為輸入，將其轉(zhuǎn)換為某種特定形式的中間表示，也就是子法UR分析，構(gòu)建語法樹，再遍歷語法樹從而升遷成中間代碼結(jié)構(gòu)，基于該中間結(jié)構(gòu)進(jìn)行分析。因為此分析基于源代碼進(jìn)行，所以能夠捕獲豐富的代碼結(jié)構(gòu)、語義和邏輯等信息。常見的基于源代碼分析的技術(shù)如Fortify，CheckMarx，Coverity等。（2）檢測目標(biāo)為二進(jìn)制代碼。面向二進(jìn)制代碼的靜態(tài)分析是以經(jīng)過反匯編等手段處理后的二進(jìn)制代碼作為輸入，設(shè)法恢復(fù)程序信息，運用模式匹配或補(bǔ)丁對比等方式實現(xiàn)漏洞檢測。相比源代碼，二進(jìn)制代碼缺乏與代碼相關(guān)的高級語義信息，以二進(jìn)制代碼形式表示的漏洞模式更為復(fù)雜，大部分的二進(jìn)制帶份檢測分析以漏洞挖掘為主，制作此類成品化、批量顯示的代碼檢測分析產(chǎn)品挑戰(zhàn)性較高。目前，較為常見的就是美國國土安全局發(fā)布的Ghidra，這是一款用Java語言編寫的代碼檢測工具，其功能非常強(qiáng)大。

3.4 代碼檢測分析技術(shù)的四大難點

3.4.1 前端解析

如果該代碼依賴編譯，那么只需做好符號信息捕獲和提取。在編譯過程中提取符號詳細(xì)信息，雖然無需專門的前端處理器，但是存在相對應(yīng)的挑戰(zhàn)。如果編譯過程中存在元素缺失，編譯會立即失敗，代碼檢測分析也隨之失敗。如果該代碼為非編譯類型，通過預(yù)編譯的方式，采用容錯機(jī)制，則不會遇到語法或者編譯錯誤等障礙。預(yù)編譯就是寫一份前端解析，隨著目標(biāo)代碼語法更新，需要升級調(diào)整預(yù)編譯處理器。

3.4.2 編程語言的差異化

當(dāng)前的研究大多針對用某一特定類型語言Java編寫的軟件程序展開。雖然已有的檢測方法在特定的應(yīng)用場景下表現(xiàn)不錯，但是在對編程語言的多樣性和迭代更新快等特性的適應(yīng)性問題處理上仍存在不足。因此，改善漏洞分析方法的通用性，提高分析模型的適配能力是當(dāng)前靜態(tài)分析中的關(guān)鍵問題。

3.4.3 機(jī)器學(xué)習(xí)技術(shù)應(yīng)用的合理性

機(jī)器學(xué)習(xí)技術(shù)在解決某些問題上表現(xiàn)突出，但是其對海量數(shù)據(jù)和計算機(jī)資源的高度需求是不容忽視的。對于基于學(xué)習(xí)的靜態(tài)分析，由于漏洞數(shù)據(jù)集稀缺、數(shù)據(jù)集所包含漏洞樣本的覆蓋面缺乏廣度，導(dǎo)致訓(xùn)練出的深度學(xué)習(xí)模型存在過擬合問題。在面對代碼高速迭代更新的大環(huán)境時，模型的性能往往與實驗結(jié)果相差較大。如何選擇和構(gòu)建合理的學(xué)習(xí)模型來理解和學(xué)習(xí)源代碼表示的信息是基于學(xué)習(xí)的靜態(tài)分析的關(guān)鍵問題。

3.4.4 誤報和漏報的問題

源代碼檢測技術(shù)存在較高的誤報和漏報，降低了檢測的準(zhǔn)確度。工具的實用性和有效性顯著降低無法有效提高軟件開發(fā)效率和軟件質(zhì)量。誤報產(chǎn)生的原因：一方面受限于工具采用的算法技術(shù)，另一方面也存在部分主觀因素，如缺陷模型的認(rèn)可、代碼上下文的關(guān)聯(lián)。漏報往往是因為規(guī)則的缺失，工具可擴(kuò)展性受限。這些都是技術(shù)人員在現(xiàn)在和未來需要解決的問題。在生產(chǎn)過程中，技術(shù)人員一般會通過調(diào)研、配置策略、預(yù)打靶摸底等方式，與客戶達(dá)成共識，再通過缺陷類型的調(diào)整、增補(bǔ)、白名單、黑名單，不斷地去保證漏報和誤報在可控的范圍內(nèi)。

3.5 國產(chǎn)源代碼檢測的關(guān)鍵技術(shù)突破

隨著“安全左移”的落實，對軟件的成分分析、開源安全漏洞、開源許可合規(guī)分析的能力要求均上升到源代碼片段級別，賦能企業(yè)安全合規(guī)能力，助力企業(yè)自主可控，保障軟件供應(yīng)鏈安全迫在眉睫。目前，可以通過市面上一些國產(chǎn)源代碼檢測產(chǎn)品，快速、準(zhǔn)確地識別源代碼中所使用到的第三方開源組件，護(hù)航企業(yè)網(wǎng)絡(luò)安全。

以下是國產(chǎn)源代碼檢測幾項關(guān)鍵技術(shù)的突破：（1）源代碼結(jié)構(gòu)化特征提取技術(shù)。此技術(shù)根據(jù)語法規(guī)范進(jìn)行源代碼文件的結(jié)構(gòu)化處理，消除特定詞法的噪聲。（2）組件依賴分析技術(shù)。此技術(shù)通過研究不同包管理的包管理機(jī)制，進(jìn)行組件信息特征提取與識別，通過組件坐標(biāo)進(jìn)行組件依賴的識別與定位。（3）安全漏洞關(guān)聯(lián)分析技術(shù)。此技術(shù)構(gòu)建安全漏洞與開源軟件、開源組件間的知識圖譜，依托關(guān)聯(lián)分析技術(shù)，間接識別相關(guān)開源項目、開源組件的安全漏洞。（4）許可證、版權(quán)識別技術(shù)。此技術(shù)研究并分析許可證、版權(quán)聲明的方式與特征，基于文本的規(guī)則匹配和特征識別技術(shù)分別識別源代碼文件中的許可證和版權(quán)信息。（5）數(shù)據(jù)壓縮及特征提取技術(shù)。此技術(shù)通過特征提取與壓縮技術(shù)，從海量的源代碼文件中進(jìn)行代碼片段級別的特征提取并自建索引，實現(xiàn)海量數(shù)據(jù)的存儲與單機(jī)部署。（6）基于大數(shù)據(jù)的開源項目溯源技術(shù)。此技術(shù)通過大數(shù)據(jù)并行計算技術(shù)，對代碼片段之間的海量匹配關(guān)系進(jìn)行特征匹配、分組、合并、排序等相關(guān)操作，分別實現(xiàn)文件之間的同源分析以及開源項目的溯源分析。

4 結(jié)語

本文從發(fā)掘源代碼安全的必要性出發(fā)，通過各項數(shù)據(jù)證明軟件供應(yīng)鏈的安全與源代碼安全息息相關(guān)，重點闡述軟件供應(yīng)鏈的安全風(fēng)險和不可控風(fēng)險，以此為基礎(chǔ)分析源代碼檢測的技術(shù)原理、技術(shù)難點及目前國產(chǎn)源代碼的技術(shù)突破。堅決落實《中華人民共和國網(wǎng)絡(luò)安全法》，實現(xiàn)“安全左移”，在源代碼安全層面上，首先需要構(gòu)建軟件物料清單，有效識別軟件供應(yīng)鏈風(fēng)險；其次需要建立開源軟件應(yīng)用規(guī)則，明確符合不同規(guī)則開源代碼不同的使用地點，同時也要引導(dǎo)國內(nèi)軟件開發(fā)供應(yīng)商、第三方機(jī)構(gòu)高度重視軟件供應(yīng)鏈安全防護(hù)。通過對軟件成分分析、開源安全分析、開源合規(guī)分析、威脅情報分析，賦能企業(yè)安全合規(guī)能力，助力企業(yè)自主可控，保障軟件供應(yīng)鏈安全。增強(qiáng)網(wǎng)絡(luò)安全意識，筑牢信息網(wǎng)絡(luò)安全防線，筆者有理由相信源代碼檢測分析技術(shù)在現(xiàn)在乃至未來，都是落實網(wǎng)絡(luò)安全工作的一個重要研究領(lǐng)域。

參考文獻(xiàn)

［1］鄧梟，葉蔚，謝睿，等.基于深度學(xué)習(xí)的源代碼缺陷檢測研究綜述［J］.軟件學(xué)報，2023（2）：625-654.

［2］劉永志.一種基于語義切片的源代碼缺陷檢測系統(tǒng)的設(shè)計與實現(xiàn)［D］.北京：北京大學(xué)，2022.

［3］李炯彬.源代碼安全和質(zhì)量缺陷靜態(tài)檢測技術(shù)研究［J］.質(zhì)量與認(rèn)證，2021（8）：66-68.

［4］王璐.軟件源代碼安全漏洞表示學(xué)習(xí)及檢測技術(shù)研究與實現(xiàn)［D］.北京：北京郵電大學(xué)，2021.

［5］張浩杰.基于深度學(xué)習(xí)的源代碼漏洞檢測技術(shù)研究［D］.成都：電子科技大學(xué)，2021.

［6］畢藝菲.智能源代碼漏洞檢測技術(shù)應(yīng)用研究［D］.西安：西安電子科技大學(xué)，2021.

［7］李炯彬.源代碼安全和質(zhì)量缺陷靜態(tài)檢測技術(shù)研究［J］.質(zhì)量與認(rèn)證，2021（8）：66-68.

（編輯 王永超）

Source code detection and analysis technology and application

Sun Li英文作者

（Jiangsu Golden Shield Detection Technology Co.， Ltd.， Nanjing 210042， China）

Abstract： With the increase of the intensity of actual combat attack and defense drills in recent years and the strengthening of beating， source code detection technology is still an important problem to be solved so far. Different from bugs， vulnerabilities are more difficult to identify and repair. Starting from the necessity of source code security， security risk and uncontrollable risk of software supply chain security， this paper focuses on the technical principle and technical difficulties of source code detection， as well as the technical breakthrough of domestic source code at present， and puts forward constructive suggestions on the concrete implementation of “security left shift”.

Key words： source code security; network security; software supply chain security; source code detection technology; safe left shift