静态分析检测

(CMA)     (ISO) (高新技术企业)

信息概要

静态分析检测依据的标准为ISO/IEC 17961《信息技术 编程语言安全规范》，该标准于2013年首次发布，现行版本为2020年修订版，暂无废止时间。本标准针对软件源代码的安全性、可靠性及合规性进行检测，覆盖内存管理、数据流控制、安全漏洞识别等技术要求，适用于C、C++、Java等主流编程语言的代码质量评估。

检测项目

数据流分析,控制流分析,空指针引用检测,缓冲区溢出检测,内存泄漏检测,资源竞争检测,类型匹配验证,未初始化变量检查,死代码识别,循环冗余分析,安全漏洞扫描,代码复杂度评估,输入验证缺陷检测,API合规性验证,加密算法合规性检查,跨站脚本攻击(XSS)风险,SQL注入漏洞检测,代码注释覆盖率,代码规范符合性,并发线程安全性分析

检测范围

C语言程序,C++应用程序,Java企业级系统,Python脚本,嵌入式系统固件,Web应用程序,移动端APP代码,数据库存储过程,工业控制软件,金融交易系统,医疗设备软件,车用电子系统,物联网设备代码,区块链智能合约,人工智能算法模块,云计算平台组件,游戏引擎代码,操作系统内核模块,通信协议栈实现,安全加密模块

检测方法

抽象语法树分析：通过构建代码的语法树结构进行语义解析

符号执行：模拟程序执行路径验证逻辑正确性

污点分析：追踪外部输入数据在系统中的传播路径

模式匹配检测：基于已知漏洞特征库进行代码比对

控制流图生成：可视化程序执行路径并进行异常分支检测

复杂度度量：计算圈复杂度、代码耦合度等质量指标

跨过程分析：追踪函数调用链中的参数传递

指针别名分析：检测内存地址重复引用风险

数据依赖分析：识别变量间的关联关系

路径敏感分析：评估不同执行路径下的程序行为

形式化验证：使用数学方法证明代码逻辑正确性

规则引擎检查：基于编码规范实施自动化审查

熵值分析法：评估随机数生成的安全性

时序分析：检测多线程环境下的执行顺序问题

资源绑定检查：验证文件句柄/网络连接等资源的释放情况

检测仪器

静态分析工具套件,代码质量扫描仪,抽象语法树生成器,符号执行引擎,控制流分析模块,数据流追踪系统,内存模型仿真器,多线程分析框架,漏洞特征库服务器,代码覆盖率分析仪,复杂度计算器,规则校验平台,形式化验证工具链,加密算法测试台,跨平台编译环境

检测标准

以上标准仅供参考，如有其他标准需求或者实验方案需求可以咨询工程师

注意：因业务调整，暂不接受个人委托测试望见谅。