国产代码安全检测领域再创新 北京大学与航天中认等联合攻关

中新网北京2月25日电 (记者 张素)传统的代码分析技术，在进行大规模代码检测时会发生状态爆炸，在计算资源和计算效率的约束下，分析精度受到严重制约，导致软件风险难以有效控制。

“软件安全检测技术已经成为影响我国软件质量和安全的关键技术。”七〇六所航天中认的研发者25日对记者说。针对大规模程序分析状态爆炸的根本性计算难题，项目攻关团队提出了基于程序复杂度的自适应分析方法，实现了检测精度和效率的有机平衡，检测效率达到150万行代码每小时，误漏报率控制在30%以下。

研发者称，通过多年的技术深耕，航天中认已将该项技术成果成功应用于多项重大工程任务中，在航空航天、军工、金融、电信等领域得到广泛应用，发现了超过39万个缺陷漏洞，缺陷密度为平均6.98个/千行，预计节约总成本为19.6亿元人民币。

研发者还说，团队聚焦软件代码安全检测技术在航空航天领域的漏洞挖掘，持续开展深入研究，解决了航天软件静态代码分析技术固有的高误报缺陷的问题，设计了基于动静结合的缺陷自动验证机制，构建了基于跨模态多粒度代码语义表示的缺陷自动分类模型。该成果已获得5项授权发明专利、18项软件著作权，发表论文40余篇。

在今年的北京市科学技术奖评选工作中，航天中认团队与北京大学等联合申报“大规模跨语言代码安全检测技术及应用”项目。2020年度北京市科学技术奖初审通过项目公示显示，该项目获北京市科技进步二等奖。

上述研发者称，项目攻关团队从大规模程序分析关键技术攻关、重大工程任务试点、代码安全质量保障等方面均获得显著成果。本项目解决的软件代码安全检测关键技术也为构建中国自主掌握的安全检测生态系统提供保障。(完) 【编辑:田博群】