本文件涉及計(jì)算機(jī)，尤其涉及一種靜態(tài)程序安全測(cè)試工具的評(píng)測(cè)方法、裝置及設(shè)備。

背景技術(shù)：

1、當(dāng)前，軟件已經(jīng)無(wú)所不在，然而，隨著軟件的普及，軟件安全問(wèn)題也日益嚴(yán)重，如系統(tǒng)崩潰和安全漏洞可能導(dǎo)致巨額經(jīng)濟(jì)損失，甚至威脅生命。為了保障軟件的安全性和可靠性，并滿足人們對(duì)自己的隱私數(shù)據(jù)的保護(hù)需求，應(yīng)用安全測(cè)試技術(shù)被廣泛使用，包括靜態(tài)應(yīng)用安全測(cè)試(static?application?security?testing，sast)、動(dòng)態(tài)應(yīng)用安全測(cè)試(dynamicapplication?security?testing，dast)、交互式應(yīng)用安全測(cè)試(interactive?applicationsecurity?testing，iast)等。上述安全測(cè)試技術(shù)被用于挖掘私有和開(kāi)源代碼中的安全漏洞，進(jìn)行知識(shí)產(chǎn)權(quán)和行業(yè)標(biāo)準(zhǔn)合規(guī)檢查等。

2、目前，各類靜態(tài)應(yīng)用安全測(cè)試工具已有多款商業(yè)化或開(kāi)源產(chǎn)品可供選擇，一些企業(yè)也在自研相關(guān)產(chǎn)品。但開(kāi)發(fā)者和用戶面臨的主要挑戰(zhàn)是如何客觀衡量各類靜態(tài)應(yīng)用安全測(cè)試工具的產(chǎn)品的技術(shù)水平。針對(duì)上述產(chǎn)品進(jìn)行評(píng)測(cè)，可以為開(kāi)發(fā)者和用戶提供有價(jià)值的參考信息，幫助他們做出更明智的技術(shù)選型和產(chǎn)品規(guī)劃決策。為此，需要提供一種更細(xì)粒度的靜態(tài)應(yīng)用安全測(cè)試工具的評(píng)測(cè)方式，從而可以全面評(píng)估靜態(tài)應(yīng)用安全測(cè)試工具的性能。

技術(shù)實(shí)現(xiàn)思路

1、本說(shuō)明書(shū)實(shí)施例的目的是提供一種更細(xì)粒度的靜態(tài)應(yīng)用安全測(cè)試工具的評(píng)測(cè)方式，從而可以全面評(píng)估靜態(tài)應(yīng)用安全測(cè)試工具的性能。

2、為了實(shí)現(xiàn)上述技術(shù)方案，本說(shuō)明書(shū)實(shí)施例是這樣實(shí)現(xiàn)的：

3、本說(shuō)明書(shū)實(shí)施例提供的一種靜態(tài)程序安全測(cè)試工具的評(píng)測(cè)方法，所述方法包括：接收針對(duì)預(yù)設(shè)編程語(yǔ)言的靜態(tài)程序安全測(cè)試工具的評(píng)測(cè)請(qǐng)求?；谒鲈u(píng)測(cè)請(qǐng)求獲取所述預(yù)設(shè)編程語(yǔ)言的語(yǔ)法特性信息和所述靜態(tài)程序安全測(cè)試工具的程序分析能力精度相關(guān)的敏感性分析的不同維度的信息?；谒鲱A(yù)設(shè)編程語(yǔ)言的語(yǔ)法特性信息構(gòu)建針對(duì)評(píng)測(cè)完整度方面的多個(gè)不同的第一評(píng)測(cè)指標(biāo)，并基于所述靜態(tài)程序安全測(cè)試工具的程序分析能力精度相關(guān)的敏感性分析的不同維度構(gòu)建針對(duì)評(píng)測(cè)準(zhǔn)確度方面的多個(gè)不同的第二評(píng)測(cè)指標(biāo)，所述多個(gè)不同的第一評(píng)測(cè)指標(biāo)包括用于對(duì)所述預(yù)設(shè)編程語(yǔ)言編寫(xiě)的程序中包含的數(shù)據(jù)結(jié)構(gòu)和/或?qū)λ鰯?shù)據(jù)結(jié)構(gòu)的預(yù)設(shè)操作進(jìn)行分析檢測(cè)的第一評(píng)測(cè)指標(biāo)，和/或，用于對(duì)所述程序中的邏輯特征進(jìn)行分析的第一評(píng)測(cè)指標(biāo)，所述多個(gè)不同的第二評(píng)測(cè)指標(biāo)包括用于對(duì)所述靜態(tài)程序安全測(cè)試工具進(jìn)行敏感性分析的第二評(píng)測(cè)指標(biāo)?；谒龆鄠€(gè)不同的第一評(píng)測(cè)指標(biāo)和所述多個(gè)不同的第二評(píng)測(cè)指標(biāo)中的每個(gè)評(píng)測(cè)指標(biāo)，獲取與所述每個(gè)評(píng)測(cè)指標(biāo)匹配的一個(gè)或多個(gè)不同的正負(fù)樣本對(duì)，并基于獲取的正負(fù)樣本對(duì)所述靜態(tài)程序安全測(cè)試工具分別進(jìn)行不同評(píng)測(cè)指標(biāo)的評(píng)測(cè)，以確定所述靜態(tài)程序安全測(cè)試工具的評(píng)測(cè)結(jié)果。

4、本說(shuō)明書(shū)實(shí)施例提供的一種靜態(tài)程序安全測(cè)試工具的評(píng)測(cè)裝置，所述裝置包括：請(qǐng)求接收模塊，接收針對(duì)預(yù)設(shè)編程語(yǔ)言的靜態(tài)程序安全測(cè)試工具的評(píng)測(cè)請(qǐng)求。信息獲取模塊，基于所述評(píng)測(cè)請(qǐng)求獲取所述預(yù)設(shè)編程語(yǔ)言的語(yǔ)法特性信息和所述靜態(tài)程序安全測(cè)試工具的程序分析能力精度相關(guān)的敏感性分析的不同維度的信息。評(píng)測(cè)指標(biāo)構(gòu)建模塊，基于所述預(yù)設(shè)編程語(yǔ)言的語(yǔ)法特性信息構(gòu)建針對(duì)評(píng)測(cè)完整度方面的多個(gè)不同的第一評(píng)測(cè)指標(biāo)，并基于所述靜態(tài)程序安全測(cè)試工具的程序分析能力精度相關(guān)的敏感性分析的不同維度構(gòu)建針對(duì)評(píng)測(cè)準(zhǔn)確度方面的多個(gè)不同的第二評(píng)測(cè)指標(biāo)，所述多個(gè)不同的第一評(píng)測(cè)指標(biāo)包括用于對(duì)所述預(yù)設(shè)編程語(yǔ)言編寫(xiě)的程序中包含的數(shù)據(jù)結(jié)構(gòu)和/或?qū)λ鰯?shù)據(jù)結(jié)構(gòu)的預(yù)設(shè)操作進(jìn)行分析檢測(cè)的第一評(píng)測(cè)指標(biāo)，和/或，用于對(duì)所述程序中的邏輯特征進(jìn)行分析的第一評(píng)測(cè)指標(biāo)，所述多個(gè)不同的第二評(píng)測(cè)指標(biāo)包括用于對(duì)所述靜態(tài)程序安全測(cè)試工具進(jìn)行敏感性分析的第二評(píng)測(cè)指標(biāo)。工具評(píng)測(cè)模塊，基于所述多個(gè)不同的第一評(píng)測(cè)指標(biāo)和所述多個(gè)不同的第二評(píng)測(cè)指標(biāo)中的每個(gè)評(píng)測(cè)指標(biāo)，獲取與所述每個(gè)評(píng)測(cè)指標(biāo)匹配的一個(gè)或多個(gè)不同的正負(fù)樣本對(duì)，并基于獲取的正負(fù)樣本對(duì)所述靜態(tài)程序安全測(cè)試工具分別進(jìn)行不同評(píng)測(cè)指標(biāo)的評(píng)測(cè)，以確定所述靜態(tài)程序安全測(cè)試工具的評(píng)測(cè)結(jié)果。

5、本說(shuō)明書(shū)實(shí)施例提供的一種靜態(tài)程序安全測(cè)試工具的評(píng)測(cè)設(shè)備，所述靜態(tài)程序安全測(cè)試工具的評(píng)測(cè)設(shè)備包括：處理器；以及被安排成存儲(chǔ)計(jì)算機(jī)可執(zhí)行指令的存儲(chǔ)器，所述可執(zhí)行指令在被執(zhí)行時(shí)使所述處理器：接收針對(duì)預(yù)設(shè)編程語(yǔ)言的靜態(tài)程序安全測(cè)試工具的評(píng)測(cè)請(qǐng)求?；谒鲈u(píng)測(cè)請(qǐng)求獲取所述預(yù)設(shè)編程語(yǔ)言的語(yǔ)法特性信息和所述靜態(tài)程序安全測(cè)試工具的程序分析能力精度相關(guān)的敏感性分析的不同維度的信息。基于所述預(yù)設(shè)編程語(yǔ)言的語(yǔ)法特性信息構(gòu)建針對(duì)評(píng)測(cè)完整度方面的多個(gè)不同的第一評(píng)測(cè)指標(biāo)，并基于所述靜態(tài)程序安全測(cè)試工具的程序分析能力精度相關(guān)的敏感性分析的不同維度構(gòu)建針對(duì)評(píng)測(cè)準(zhǔn)確度方面的多個(gè)不同的第二評(píng)測(cè)指標(biāo)，所述多個(gè)不同的第一評(píng)測(cè)指標(biāo)包括用于對(duì)所述預(yù)設(shè)編程語(yǔ)言編寫(xiě)的程序中包含的數(shù)據(jù)結(jié)構(gòu)和/或?qū)λ鰯?shù)據(jù)結(jié)構(gòu)的預(yù)設(shè)操作進(jìn)行分析檢測(cè)的第一評(píng)測(cè)指標(biāo)，和/或，用于對(duì)所述程序中的邏輯特征進(jìn)行分析的第一評(píng)測(cè)指標(biāo)，所述多個(gè)不同的第二評(píng)測(cè)指標(biāo)包括用于對(duì)所述靜態(tài)程序安全測(cè)試工具進(jìn)行敏感性分析的第二評(píng)測(cè)指標(biāo)。基于所述多個(gè)不同的第一評(píng)測(cè)指標(biāo)和所述多個(gè)不同的第二評(píng)測(cè)指標(biāo)中的每個(gè)評(píng)測(cè)指標(biāo)，獲取與所述每個(gè)評(píng)測(cè)指標(biāo)匹配的一個(gè)或多個(gè)不同的正負(fù)樣本對(duì)，并基于獲取的正負(fù)樣本對(duì)所述靜態(tài)程序安全測(cè)試工具分別進(jìn)行不同評(píng)測(cè)指標(biāo)的評(píng)測(cè)，以確定所述靜態(tài)程序安全測(cè)試工具的評(píng)測(cè)結(jié)果。

6、本說(shuō)明書(shū)實(shí)施例還提供了一種存儲(chǔ)介質(zhì)，所述存儲(chǔ)介質(zhì)用于存儲(chǔ)計(jì)算機(jī)可執(zhí)行指令，所述可執(zhí)行指令在被處理器執(zhí)行時(shí)實(shí)現(xiàn)以下流程：接收針對(duì)預(yù)設(shè)編程語(yǔ)言的靜態(tài)程序安全測(cè)試工具的評(píng)測(cè)請(qǐng)求?；谒鲈u(píng)測(cè)請(qǐng)求獲取所述預(yù)設(shè)編程語(yǔ)言的語(yǔ)法特性信息和所述靜態(tài)程序安全測(cè)試工具的程序分析能力精度相關(guān)的敏感性分析的不同維度的信息?；谒鲱A(yù)設(shè)編程語(yǔ)言的語(yǔ)法特性信息構(gòu)建針對(duì)評(píng)測(cè)完整度方面的多個(gè)不同的第一評(píng)測(cè)指標(biāo)，并基于所述靜態(tài)程序安全測(cè)試工具的程序分析能力精度相關(guān)的敏感性分析的不同維度構(gòu)建針對(duì)評(píng)測(cè)準(zhǔn)確度方面的多個(gè)不同的第二評(píng)測(cè)指標(biāo)，所述多個(gè)不同的第一評(píng)測(cè)指標(biāo)包括用于對(duì)所述預(yù)設(shè)編程語(yǔ)言編寫(xiě)的程序中包含的數(shù)據(jù)結(jié)構(gòu)和/或?qū)λ鰯?shù)據(jù)結(jié)構(gòu)的預(yù)設(shè)操作進(jìn)行分析檢測(cè)的第一評(píng)測(cè)指標(biāo)，和/或，用于對(duì)所述程序中的邏輯特征進(jìn)行分析的第一評(píng)測(cè)指標(biāo)，所述多個(gè)不同的第二評(píng)測(cè)指標(biāo)包括用于對(duì)所述靜態(tài)程序安全測(cè)試工具進(jìn)行敏感性分析的第二評(píng)測(cè)指標(biāo)?；谒龆鄠€(gè)不同的第一評(píng)測(cè)指標(biāo)和所述多個(gè)不同的第二評(píng)測(cè)指標(biāo)中的每個(gè)評(píng)測(cè)指標(biāo)，獲取與所述每個(gè)評(píng)測(cè)指標(biāo)匹配的一個(gè)或多個(gè)不同的正負(fù)樣本對(duì)，并基于獲取的正負(fù)樣本對(duì)所述靜態(tài)程序安全測(cè)試工具分別進(jìn)行不同評(píng)測(cè)指標(biāo)的評(píng)測(cè)，以確定所述靜態(tài)程序安全測(cè)試工具的評(píng)測(cè)結(jié)果。

7、本說(shuō)明書(shū)實(shí)施例還提供了一種計(jì)算機(jī)程序產(chǎn)品，包括計(jì)算機(jī)程序，該計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)以下流程：接收針對(duì)預(yù)設(shè)編程語(yǔ)言的靜態(tài)程序安全測(cè)試工具的評(píng)測(cè)請(qǐng)求?；谒鲈u(píng)測(cè)請(qǐng)求獲取所述預(yù)設(shè)編程語(yǔ)言的語(yǔ)法特性信息和所述靜態(tài)程序安全測(cè)試工具的程序分析能力精度相關(guān)的敏感性分析的不同維度的信息?；谒鲱A(yù)設(shè)編程語(yǔ)言的語(yǔ)法特性信息構(gòu)建針對(duì)評(píng)測(cè)完整度方面的多個(gè)不同的第一評(píng)測(cè)指標(biāo)，并基于所述靜態(tài)程序安全測(cè)試工具的程序分析能力精度相關(guān)的敏感性分析的不同維度構(gòu)建針對(duì)評(píng)測(cè)準(zhǔn)確度方面的多個(gè)不同的第二評(píng)測(cè)指標(biāo)，所述多個(gè)不同的第一評(píng)測(cè)指標(biāo)包括用于對(duì)所述預(yù)設(shè)編程語(yǔ)言編寫(xiě)的程序中包含的數(shù)據(jù)結(jié)構(gòu)和/或?qū)λ鰯?shù)據(jù)結(jié)構(gòu)的預(yù)設(shè)操作進(jìn)行分析檢測(cè)的第一評(píng)測(cè)指標(biāo)，和/或，用于對(duì)所述程序中的邏輯特征進(jìn)行分析的第一評(píng)測(cè)指標(biāo)，所述多個(gè)不同的第二評(píng)測(cè)指標(biāo)包括用于對(duì)所述靜態(tài)程序安全測(cè)試工具進(jìn)行敏感性分析的第二評(píng)測(cè)指標(biāo)?；谒龆鄠€(gè)不同的第一評(píng)測(cè)指標(biāo)和所述多個(gè)不同的第二評(píng)測(cè)指標(biāo)中的每個(gè)評(píng)測(cè)指標(biāo)，獲取與所述每個(gè)評(píng)測(cè)指標(biāo)匹配的一個(gè)或多個(gè)不同的正負(fù)樣本對(duì)，并基于獲取的正負(fù)樣本對(duì)所述靜態(tài)程序安全測(cè)試工具分別進(jìn)行不同評(píng)測(cè)指標(biāo)的評(píng)測(cè)，以確定所述靜態(tài)程序安全測(cè)試工具的評(píng)測(cè)結(jié)果。