《表1 源代码安全测试缺陷统计示例》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《面向C++源代码的一体化测试方法及系统》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

在实际应用中，一体化测试开始前需要根据实际项目情况选择合适的静态检测工具。静态检测工具直接扫描程序代码，提取程序关键语法，解释程序语义，理解程序行为，根据预先设定的漏洞特征、安全规则等检查程序，自动识别程序缺陷、安全漏洞和违反编码规则的问题[1-3]。国际领先的软件安全漏洞扫描工具Fortify采用控制流分析、数据流分析、语义分析等多种先进的静态分析方法，查找输入验证与表示、API误用、安全特性、时间与状态、错误处理等8类典型软件安全缺陷。国内自主研发的代码安全检测工具库博Cobot采用基于机器学习的自适应分析引擎，可检测100多类软件缺陷，如内存泄漏、空指针解引用等问题，支持90多种C/C++常见的安全漏洞。因此可以选用这两款工具在一体化测试平台上检测代码白盒测试，并生成相应的缺陷分析检测报告供后续测试参考。