摘要：為了使開發(fā)者能安全準確地使用第三庫接口,庫設(shè)計者提供了各種類型的安全提示(安全規(guī)約),進而保護應用程序免受因庫函數(shù)的誤用而造成的安全攻擊.然而,研究表明:開發(fā)者經(jīng)常性不遵守這些安全規(guī)約,導致應用程序中引入了各種各樣的安全漏洞.為了評估該問題的影響與規(guī)模,進行了系統(tǒng)性的、大規(guī)模的對安全規(guī)約在安卓應用程序中違反情況的研究.結(jié)果表明:已有的安全規(guī)約由于不精確的描述、誤導性的代碼示例、錯誤的默認設(shè)置、碎片化以及缺少強制性檢查等原因而大大影響了其在實際運用中的有效性.為了使開發(fā)者能更好地遵守安全規(guī)約,提出了TipTracer,一個自動化的通用漏洞分析框架.TipTracer主要包含2個部分:1)TipTracer定義了一個能形式化描述安全規(guī)約的安全性語言,并利用該語言對已知的安全規(guī)約進行形式化表述;2)TipTracer實現(xiàn)了一個靜態(tài)代碼分析器,用于檢查應用程序是否滿足安全規(guī)約.最后,通過大規(guī)模的實驗分析,證明了TipTracer能有效且準確地對大規(guī)模的真實應用程序進行安全性分析.