代碼漏洞檢測(cè)研究的國內(nèi)外文獻(xiàn)綜述漏洞檢測(cè)是計(jì)算機(jī)發(fā)展以來一直被研究的課題，早在上世紀(jì)40年代，馮·諾依曼就提出了信息安全漏洞的理論，到70年代，計(jì)算機(jī)病毒出現(xiàn)，直至今天，漏洞已經(jīng)成為影響互聯(lián)網(wǎng)技術(shù)發(fā)展的重要因素之一。漏洞庫的建立和漏洞挖掘技術(shù)的研究是推動(dòng)網(wǎng)絡(luò)安全健康發(fā)展的重點(diǎn)。漏洞庫中包含完備的漏洞信息，關(guān)系國家安全，建立漏洞庫具有很重要的意義。世界各國都很重視漏洞庫的建設(shè)工作。一些歐美國家在漏洞庫的建設(shè)方面已經(jīng)擁有了很大的影響力。以美國為例，從上世紀(jì)70年代開始研究漏洞相關(guān)技術(shù)，加州大學(xué)進(jìn)行的針對(duì)操作系統(tǒng)中存在的安全漏洞的“PA研究計(jì)劃”；90年代發(fā)表了關(guān)于軟件漏洞的調(diào)查報(bào)告；2003年發(fā)布了《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》；2004年提出建立面向全球的漏洞管理平臺(tái)；經(jīng)過對(duì)漏洞挖掘、分類等領(lǐng)域的研究，2005年，美國國家標(biāo)準(zhǔn)與技術(shù)委員會(huì)建立了美國國家漏洞數(shù)據(jù)庫NVD。NVD中漏洞數(shù)據(jù)收集全面，結(jié)構(gòu)規(guī)范，命名標(biāo)準(zhǔn)嚴(yán)格按照《通用漏洞披露》（CVE），即采用唯一的通用漏洞與披露標(biāo)識(shí)符CVE-ID標(biāo)識(shí)漏洞，按照《通用漏洞評(píng)估系統(tǒng)》（CVSS）進(jìn)行漏洞評(píng)級(jí)，按照《通用缺陷列舉》（CWE）進(jìn)行漏洞分類。因此，NVD成為國際上極具影響力的漏洞庫。除此之外，美國還有一些典型的漏洞庫，如：US-CERT、OSVDB等。我國漏洞庫的研究較晚，最早開始于部分科研機(jī)構(gòu)，隨后一些知名的安全公司、組織開始創(chuàng)建自己的漏洞庫，如啟明星辰、中國信息安全論壇、綠盟科技等一些有名的IT機(jī)構(gòu)，它們對(duì)于計(jì)算機(jī)漏洞的研究推動(dòng)了中國對(duì)于漏洞庫建立的進(jìn)程。2009年10月，中國的國家漏洞庫CNVD投入使用，同年11月，國家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心、國家計(jì)算機(jī)病毒應(yīng)急處理中心和計(jì)算機(jī)網(wǎng)絡(luò)與信息安全教育部重點(diǎn)實(shí)驗(yàn)室簽署聯(lián)盟協(xié)議書，共同建設(shè)“國家安全漏洞庫”和“國家安全漏洞論壇”。由于網(wǎng)絡(luò)漏洞處于網(wǎng)絡(luò)安全的核心，是網(wǎng)絡(luò)攻防的焦點(diǎn)，“國家安全漏洞庫”和“國家安全漏洞論壇”將為國家建立一個(gè)安全漏洞信息共享與交流的平臺(tái)，為公眾和社會(huì)提供最新、最及時(shí)的安全漏洞信息，將在國家安全預(yù)警、應(yīng)急響應(yīng)和安全事件處理等方面發(fā)揮重要的作用。漏洞挖掘技術(shù)則是漏洞研究的又一重要領(lǐng)域，在漏洞研究分析的起步階段，較為適用的漏洞挖掘技術(shù)都是由外國的科研人員開發(fā)的，而且很多漏洞檢測(cè)工具是基于某種規(guī)則開發(fā)的，具有局限性。隨著各國漏洞研究的開展，目前已經(jīng)涌現(xiàn)出了很多種漏洞檢測(cè)工具和方法，主要包括手工測(cè)試技術(shù)、模糊測(cè)試技術(shù)、二進(jìn)制比對(duì)技術(shù)、靜態(tài)檢測(cè)技術(shù)、動(dòng)態(tài)檢測(cè)技術(shù)等。因?yàn)楸疚闹饕褂玫姆椒ㄊ庆o態(tài)檢測(cè)技術(shù)，故著重研究了靜態(tài)檢測(cè)技術(shù)的發(fā)展過程。其中靜態(tài)分析是應(yīng)用最早的技術(shù)，19世紀(jì)80年代左右，靜態(tài)分析技術(shù)開始發(fā)展，逐漸成為軟件漏洞檢測(cè)分析的重要方式。但早期靜態(tài)分析過程由于檢測(cè)的方式只停留在表面，比較局限，之后人們對(duì)其進(jìn)行了改進(jìn)，擴(kuò)充為靜態(tài)分析及程序檢驗(yàn)。而源代碼作為軟件的原始形態(tài)，其重要性不言而喻，因此通過靜態(tài)檢測(cè)技術(shù)分析源代碼中存在的安全缺陷是降低軟件潛在漏洞的重要方法。經(jīng)過這幾十年的發(fā)展，源代碼靜態(tài)分析技術(shù)有了很大的發(fā)展，而且許多國家和企業(yè)也逐漸意識(shí)到了源代碼分析的重要性。目前主要的分析技術(shù)有：語法分析技術(shù)、抽象解釋技術(shù)、程序模擬技術(shù)、定理證明技術(shù)等。總體來看，目前國內(nèi)外在漏洞庫的建立和漏洞檢測(cè)技術(shù)的研究上取得了很多具有權(quán)威性和實(shí)用性的成果。但靜態(tài)檢測(cè)工具和技術(shù)也存在缺點(diǎn)，比如會(huì)出現(xiàn)漏報(bào)和誤報(bào)的現(xiàn)象，因此對(duì)其進(jìn)行更深一步的研究和分析具有實(shí)際應(yīng)用的價(jià)值。參考文獻(xiàn)[1]史洋洋.C_源代碼漏洞靜態(tài)掃描系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[學(xué)位論文].南京大學(xué).2020.[2]李珍，鄒德清，王澤麗，金海.面向源代碼的軟件漏洞靜態(tài)檢測(cè)綜述.網(wǎng)絡(luò)與信息安全學(xué)報(bào).2019.5(1).[3]王濤.面向源碼的軟件漏洞靜態(tài)檢測(cè)技術(shù)研究與實(shí)現(xiàn)[學(xué)位論文].華中科技大學(xué).2015.[4]曾穎.基于補(bǔ)丁比對(duì)的Windows下緩沖區(qū)溢出漏洞挖掘技術(shù)研究[學(xué)位論文].解放軍信息工程大學(xué).2007.[5]王躍.源代碼安全漏洞檢測(cè)方法研究[學(xué)位論文].華中科技大學(xué).2013.[6]孟慶坤.源代碼軟件漏洞自動(dòng)挖掘關(guān)鍵技術(shù)研究[學(xué)位論文].國防科技大學(xué).2017.[7]牛國芬.基于CVE的漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[學(xué)位論文].電子科技大學(xué).2014.[8]郭連城.漏洞挖掘技術(shù)分析與研究.科技創(chuàng)新與應(yīng)用.2014.26期.[9]吳舒平，張玉清.漏洞庫發(fā)展現(xiàn)狀的研究及啟示.計(jì)算機(jī)安全.2010.[10]胡華平.基于模糊匹配的補(bǔ)丁文件定位算法研究[A].計(jì)算機(jī)工程與科學(xué)，2007.[11]黃樺烽.有限資源條件下的軟件漏洞自動(dòng)挖掘與利用[A].計(jì)算機(jī)研究與發(fā)展，2019.[12]張小敏.計(jì)算機(jī)軟件漏洞檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[A].電子技術(shù)與軟件工程，2016.[13]鄒雅毅.開源軟件漏洞補(bǔ)丁的采集與整理[A].河北省科學(xué)院院報(bào)，2016.[14]JANGJ,AGRAWALA,BRUMLEYD.ReDeBug:finding