針對企業(yè)信息系統(tǒng)源代碼中可能存在的安全漏洞，可以運(yùn)用基于歷史漏洞信息的智能學(xué)習(xí)技術(shù)進(jìn)行檢測。通過采集海量開源代碼并提取其中漏洞代碼的方法構(gòu)建樣本集，提取漏洞比對特征進(jìn)行模型訓(xùn)練，形成原型系統(tǒng)，實(shí)現(xiàn)對系統(tǒng)源代碼進(jìn)行安全性檢測，并輔助工程人員快速進(jìn)行源代碼漏洞的定位與修復(fù)，大幅提高代碼安全檢測與維護(hù)的工作效率?？傮w目標(biāo)如下：
（1）使用多渠道、多版本、多來源的軟件模塊代碼采集技術(shù)，對企業(yè)信息系統(tǒng)開發(fā)代碼、開源代碼和第三方代碼分別進(jìn)行爬??；針對開源代碼各個(gè)模塊的不同歷史版本，采集完整歷史版本代碼形成開源代碼庫；針對API及庫函數(shù)等不同調(diào)用方式對第三方代碼進(jìn)行處理，形成第三方代碼庫。
（2）基于采集到的代碼庫，利用git、svn等版本控制工具提供的歷史提交信息檢索方法，結(jié)合棧溢出和堆溢出等漏洞關(guān)鍵詞，檢索代碼庫中各個(gè)模塊代碼的實(shí)現(xiàn)性漏洞，對漏洞成因、代碼位置、修補(bǔ)信息等進(jìn)行存儲，依據(jù)漏洞類型分別形成相應(yīng)類型的漏洞庫，獲得完整漏洞代碼庫。
（3）基于生成的漏洞代碼庫，實(shí)現(xiàn)從語法相似性、語義相似性、變量相似性、代碼結(jié)構(gòu)相似性等比對結(jié)果中進(jìn)行特征提?。贿M(jìn)一步通過將單獨(dú)特征進(jìn)行相乘或計(jì)算笛卡爾積的方式，形成高質(zhì)量的能更好表征代碼安全性的合成特征。
（4）利用決策樹、神經(jīng)網(wǎng)絡(luò)、SVM等機(jī)器學(xué)習(xí)算法對比對結(jié)果進(jìn)行判別，得到目標(biāo)網(wǎng)絡(luò)密碼模塊代碼的漏洞信息；提取軟件模塊的漏洞信息，并形成安全性比對報(bào)告，最終形成代碼安全性比對判別原型系統(tǒng)。

源代碼智能審計(jì)功能
源代碼智能安全審計(jì)平臺軟件功能主要包括：項(xiàng)目管理、源代碼倉庫管理、代碼采集、漏洞掃描、源代碼安全分析、智能學(xué)習(xí)等模塊。
（1）多渠道軟件代碼采集及源代碼管理平臺

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png