qq_35063663的博客

代码克隆（Code Clone），是指本地代码库或开源代码库中存在多个以上相同或者相似的源代码片段。通常情况下，代码克隆分为两类相似性：语法相似性和语义相似性。语法相似性通常是在程序员复制一个代码片段后，粘贴到软件代码中的另一个地方时引入的；语义相似性是在开发人员试图实现与现有代码片段相同或相似的某种功能时发生的。使用克隆代码在代码开发过程中也是提高开发效率的一种方式，一定程度上帮助了软件系统的开发，但这种方式也可能意外引入代码片段本身存在的安全风险或授权许可风险等负面影响。

近日，北京北大软件工程股份有限公司两项发明专利——“一种基于值依赖图的污染数据分析方法、系统与电子设备” “C/C++程序中不可达代码的静态检测方法及系统”获国家知识产权局授权。一种基于值依赖图的污染数据分析方法、系统与电子设备难点攻克：现有静态污染数据分析方法基于数据流分析或符号执行技术，精度较低或存在路径爆炸问题，难以用于大规模、全程序的高精度静态污点分析。本发明为污染数据相关分析提供了一种基于守卫值依赖图的模型，保证了污染数据按需传播分析的全面性、精确性。应用价值：本发明为缺陷、漏洞的精确检测提

随着软件开源文化的盛行，以github网站为主的开源项目在全球范围内广泛应用。根据权威组织数据分析给出，99%的企业和个人在其IT系统中采用开源软件。开源软件为系统开发提升效率的同时，也给软件埋下了安全隐患，一旦安全漏洞爆发，影响范围将是一个行业、一个国家甚至全世界。

■ 北京大学软件工程国家工程研究中心 张世琨 马森 高庆 孙永杰由于软件应用范围不断扩大，软件安全已经不限于虚拟空间，直接威胁到物理空间的安全，而且，供应链中的任何问题都会导致严重的危害。降低软件安全风险最重要的就是技术沉淀，而技术沉淀最好的方式就是自动化工具，例如美国国防高级研究计划局（DARPA）在2016年举办的网络安全挑战赛（CGC），无任何人为干预，由机器全自动地挖掘二进制程序中的漏...