公开(公告)号：CN119918067A

公开(公告)日：2025-05-02

申请号：CN202510422316.8

申请日：2025-04-07

Applicant: 中国电子产品可靠性与环境试验研究所((工业和信息化部电子第五研究所)(中国赛宝实验室))

Inventor： 冯晓荣 ,  高英 ,  李冬

IPC: G06F21/57 ,  G06F18/213 ,  G06F18/25 ,  G06F18/2415 ,  G06N3/0442 ,  G06N3/045

Abstract: 本发明公开了一种用于开源软件的安全诊断评估方法及系统，涉及安全诊断技术领域；对代码属性图进行依赖提取后构建代码关系树；通过上下文切片提取源代码中与漏洞相关的上下文代码得到目标代码片段，对目标代码片段进行特征提取得到第一特征；对源代码中的变量名称和函数名称进行匿名化处理后，通过Word2Vec对匿名化后的代码序列进行词嵌入，并使用双向门控循环单元模型提取目标代码片段的句法信息得到第二特征；将第一特征和第二特征代入多层感知器模型得到源代码的漏洞存在概率，通过全面捕捉代码之间的依赖关系，之后再通过上下文切片提取目标代码片段，更准确地识别出潜在的漏洞位置和类型提高了安全性，降低了受到供应链攻击的风险。