卓越的静态代码检测工具PC__Lint

PC__Lint是一个功能非常强劲的CC++静态代码检测工具，它不但能够检测出代码中的语法错误，还可以有效地提出许多代码在空间利用，运行效率上的改进点，在很多专业级的软件公司，比如Microsoft、Bonand等，Pc-Lint检查无错误无告警是代码要过的第一关，业界实践表明，通过使用PC__Lint，可以比较明显地提高软件的质量和开发速度。     

C语言静态代码分析中的调用关系提取方法

程序静态分析(Program Static Analysis)是指在不运行代码的方式下,通过词法分析、语法分析、控制流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。首先对程序静态分析的特点、常用静态分析技术、静态分析实现方式进行描述,然后通过一个实例讲解C语言静态代码分析中函数与变量的调用关系的实现方法,总结了现今在C语言调用关系分析中可以借鉴的工具与实现方式。     

基于代码行变更指数的异味类排序方法

为提高重构效率,提出一种通过代码行变更指数来对异味类进行排序的方法.此前对于代码异味的研究主要关注静态代码行度量指标,但是在整个项目开发过程中代码行数是动态变化的,且变化规模越大的类出现异味的概率越大.通过对整个项目开发过程中代码行动态变化过程进行分析,提出代码行变更指数对异味类变化规模进行排序,使其重构主要关注那些变化较大的异味类,减少重构成本.对比实验结果表明,按照该方法对异味类进行重构,可以减少异味剩余率,提高重构效率.     

二进制代码中函数混淆调用的识别

函数调用相关信息识别是二进制代码静态分析的基础,也是恶意代码分析的重要线索。二进制代码混淆技术通过对函数调用指令call、参数传递过程和调用返回过程的混淆来隐藏代码中函数的信息。这大大增加了程序逆向分析的难度,此技术被广泛应用在变形和多态病毒中,使其逃脱杀毒软件的查杀。论文给出了一种静态分析方法,引入了抽象栈图的概念,给出了其构造算法,利用它能够有效识别出代码中对函数调用的混淆。     

关于主键代码设计之我见

在计算机软件的开发中,必须建立一套代码系统,使信息可以通过代码建立起相互关系,以便完成信息的集成、共享和消除冗余,这是信息工程的重要步骤,必须根据实际情况进行详细的调查,从系统集成的角度进行分析,把信息系统的发展和外部联系考虑进去,建立一个代码结构,这就是代码设计。 代码可以分成两种,一种是把规范化的属性用代码表示出来,便于使用,在程序上叫值列表。另一种是由代码组成的主键,是一组数据(记录RecordorRaw)的标示。本文主要讨论这种主键代码。     

Web应用中代码注入漏洞的测试方法

研究Web应用中的代码注入漏洞,总结分析该类漏洞的特征,修正并扩展其定义,把漏洞的产生原因归纳为2类编码错误。提出一套通过识别2类编码错误发现Web应用中代码注入漏洞的测试方法。实验结果证明,该方法可减少测试工作量,能全面有效地测试Web应用中的代码注入漏洞和潜在的风险点。     

代码走查的研究与实践

代码走查能够有效地发现30％～70％的逻辑设计和编码错误，错误的检测效率高达全部查出错误的80％，代码走查比动态测试更有效率，能快速找到缺陷，但传统的代码走查非常耗费时间。采用工具辅助进行代码走查，大大提高了测试效率，采用白盒、黑盒综合测试策略设计测试实例，提高了缺陷检测率。     

审查Java代码的常见错误

代码审查是消灭Bug最重要的方法之一，这些审查在大多数时候都特别奏效。由于代码审查本身所针对的对象，就是俯瞰整个代码在测试过程中的问题和Bug。并且，代码审查对消除一些特别细节的错误大有裨益，尤其是那些能够容易在阅读代码的时候发现的错误，这些错误往往不容易通过机器上的测试识别出来。本文就常见的Java代码中容易出现的问题提出一些建设性建议，以便您在审查代码的过程中注意到这些常见的细节性错误。     

大型应用系统软件交付前的安全性审查

本文中,针对大型应用系统软交付前的安全性检查与测试,主要探讨由开发人员或安全专家人工执行的安全代码审查工作应注意的策略,以提高执行效率,加强大型软件的安全性。在开发过程中,可以使用不同的方法来查找编码错误,但即使与最先进的工具相比,人工代码审查在精确性和质量方面的价值也毫不逊色,但执行人工代码审查的成本也是最高的。因此有必要对重点的软件安全漏洞与漏洞类型、代码的审阅策略、代码审查过程进行明确,以便有效降低人工代码安全审查的代价。     

基于安卓系统的代码隐藏类规避技术检测框架

随着恶意软件检测和分析技术的发展,大量恶意软件采用规避技术来对抗安全分析。其中,代码隐藏类规避技术将应用代码对静态分析隐藏起来,使分析结果错误或缺失。爆炸式增长的恶意软件数量要求了对代码隐藏类规避技术的自动化检测。通过对142个恶意样本进行人工分析,总结出一种代码隐藏类规避技术的检测方法,并实现了一个通用的自动化检测框架。使用检测框架在第三方应用市场2 278个样本上进行了实验,发现有34.9%的样本使用了代码隐藏类规避技术。     

面向回归测试的代码变更影响度量模型

软件待测版本相对上一个版本的代码变更,会对已有特性带来潜在的质量风险,这一风险水平直接与回归测试用例的优先级相关联.回归测试设计过程中的一个重要问题是如何衡量代码变更对回归测试用例优先级的影响.本文在回归测试用例优先级评估模型的基础上,从测试覆盖的角度建立起回归测试用例与代码变更的直接关联,从代码整体耦合性的角度建立起回归测试用例与代码变更的间接关联,分析了代码变更对回归测试的显性影响和隐性影响,进而结合回归测试用例优先级的评估要求提出了一个新的度量模型.实验结果显示,使用该模型度量代码变更对回归测试用例优先级的影响水平,可以得到比较全面和客观的定量结果,从而为回归测试用例优先级的评估提供有效的支持.     

基于UML类图和顺序图的C++代码自动生成方法的研究

UML是一种被广泛用于软件系统需求分析和详细设计的标准建模语言,研究将UML描述的软件详细设计自动生成代码的技术可以大大加速软件产品的开发进度,提高软件的质量。提出一种将UML类图和顺序图相结合生成具有静态结构和动态行为信息的C++代码的方法,从而解决现在多数代码生成工具只能将静态图转换为C++代码框架而不能处理动态行为模型转换的问题。该方法包括UML类图和顺序图的元模型以及相应的转换规则。最后通过一个采用Velocity技术实现的代码生成器生成代码的实例描述了代码生成的具体过程及结果。     

Mediator模型的SystemC代码自动生成

Mediator是一种基于组件的建模语言,该语言主要通过自动机和系统对模型进行描述。将Mediator语言描述的模型自动生成为可执行代码,可以避免编码过程中由于人为疏忽而造成的错误,从而提高编码的可靠性,同时缩短模型开发周期。介绍一种从Mediator模型到SystemC代码的自动生成工具,该工具旨在将基于特定平台的模型转换为能直接仿真运行的代码。首先对Mediator语言的语法语义进行分析,选择合适的SystemC代码组织形式,然后针对Mediator模型的每一个组成部分 设计生成规则,其中重点对类型生成、状态转移语句生成、同步语句的生成进行分析。最后,通过一个机器掉电检测系统说明该工具运行结果的正确性。     

养成好的编程习惯

假设有一种编程的方法,能够克服所有的编程困难和改正所有的错误,而且能够避免重写代码,那么……但这种完美的编程方法是不存在的。程序员需要做的事情是学习和借鉴优秀程序员的经验与方法,以免重蹈覆辙。下面的一些编程方法,希望对你有所帮助。1.使用assert判断语句假设你是一个超级程序员,你写的代码永远都不会有错误。但是,如果你写的完美代码没有得到完美的数据,结果会如何?例如,在代码中合法地使用一个指针,但是指针会把一个声音文件当作一个图片文件来处理,那么这段代码不能完成任何事情。如何解决这个问题呢?我们知道C语言有一个标…     

大规模代码克隆的检测方法

代码克隆检测在剽窃检测、版权侵犯调查、软件演化分析、代码压缩、错误检测,以及寻找bug,发现复用模式等方面有重要作用。现有的代码克隆检测工具算法复杂,或需要消耗大量的计算资源,不适用于规模巨大的代码数据。为了能够在大规模的数据上检测代码克隆,提出了一种新的代码克隆检测算法。该算法结合数据消重中的基于内容可变长度分块（content-defined chunking,CDC）思想和网页查重中的Simhash算法思想,采用了对代码先分块处理再模糊匹配的方法。在一个包含多种开源项目,超过5亿个代码文件,共约10 TB代码内容的数据源上,实现了该算法。通过实验,比较了不同分块长度对代码克隆检测率和所需要时间的影响,验证了新算法可以运用于大规模代码克隆检测,并且能够检测出一些级别3的克隆代码,达到了较高的准确率。     

模型驱动开发的今天

“流行、趋势”这两个词永远都可以代表时尚圈。每年,都会有一批新元素出现在时尚圈,但仔细看看,却又觉得似曾相识。今年,IT圈也有一位让大家似曾相识的新人独领风骚。它,就是桌面虚拟化。表达模型的语言。模型提供了这样一种能力,能够一致性地显示这个系统的不同视图。一个常见的错误是认为模型驱动开发是模型和代码之间的一种关系,通过代码实现了模型。     

动态二进制翻译中动态优化的成本与收益分析

传统的静态编译器优化存在着各种限制,为此,提出了一种运行期动态优化的对策。在程序的执行过程中,持续检测程序运行的profile信息,并根据这些信息对程序代码进行优化变换,创建并运行程序代码的优化版本。这种运行期动态优化操作是直接针对程序的二进制代码的,不针对程序语言或编译器。这不仅带来优化的透明性,还使得老版本的源代码即遗留代码也可以从优化技术中获得性能提升。     

面向对象语言的化学语义

提出了一种基于程序分析的代码查询技术,它能有效地应用于代码审查、程序自动插桩等常用的软件工程的研究场景。它通过代码静态分析获得程序元素信息,并将其保存为中间结构,作为代码查询过程的目标集合;查询过程以程序元素为目标,查询语言以谓词逻辑表达式的形式描述查询条件。基于此技术,实现了一个面向C/C++语言的代码查询工具。     

面向源代码的导向Concolic测试方法研究

软件安全性测试是保证代码质量的重要途径,Concolic测试在实际操作中存在路径爆炸和约束求解能力不足等局限。本文提出一种有导向的Concolic测试方法,针对容易产生缺陷的危险代码区域,依据控制流和数据流属性,采用回溯的方式推导出静态可达路径信息和必要的符号变量,实现对危险代码区域的覆盖测试。实证研究结果表明,通过规避对不关心路径和符号变量的分析,所提方法覆盖测试危险代码区域的效率明显得到提升,具备更强的缺陷检测能力。     

代码质量静态度量的研究与应用

代码质量度量是软件质量分析的一个重要研究方向。静态分析方法因其具有成本低、容易实现而且不依赖于程序特定的运行环境的优点,在当前软件网络化、服务化的趋势下倍受关注。针对Java代码质量度量进行研究,使用Ant工具整合各种开源的静态测试工具,并制定基于静态分析的Java代码质量综合评价方案,可支持包括代码规模、规范性、可维护性、可扩展性和潜在危险等方面的综合检测,为项目的开发者、管理者和使用者提供了实用的代码质量评价方法。