随着开源产品和框架在IT行业和互联网企业的应用愈加广泛,开源软件的质量问题受到广泛关注。开发标准、性能指标、软件漏洞、代码克隆等指标都会影响软开源软件的安全性。开源软件源代码中存在着大量的安全隐患,CVE,NIST和360团队都从各大开源社区的源代码中发现大量的代码漏洞。因此,针对开源软件源代码的安全问题研究迫在眉睫。为了解决开源软件源代码的安全检测问题,从漏洞检测、漏洞预测、代码克隆三个方面入手研究开源软件源代码的安全性。通过改进和结合现有的深度学习模型,提出更加适应于检测源代码漏洞的新模型。具体工作如下:1.研究了基于混合深度学习模型的源代码漏洞检测方法。该部分首先建立了包含7大类漏洞问题的漏洞库,在漏洞库中定义程序切片的关键点。其次,将关键点作为程序切片的切入点,提取出控制流图和数据流图,得到源代码的漏洞特征。通过word2vec工具得到的标准化和向量化后的漏洞特征。最后,将特征向量作为混合深度模型DCnnGRU的输入。该模型用卷积神经网络(CNN)作为与特征向量交互的接口,门控循环单元(GRU)嵌入到CNN中间,作为捕获代码调用关系的门控机制。2.研究了基于组合深度学习模型的源代码漏洞预测方法。首先构建变化指标体系,在现有的变化指标的基础上,引入了审阅和时间两个维度,构建新的变化指标体系。其次,为了解决数据集中有漏洞样本远远少于无漏洞样本的问题,首次采用边界均匀生成对抗网络(BEGAN)生成有漏洞样本。最后,在DCnnGRU模型的基础上进一步进行改进,将单向GRU改为双向GRU,得到用于漏洞预测的模型CBGRU。3.研究了基于改进胶囊网络的代码克隆检测方法。该部分研究提出了新的代码检测与定位框架:TPCaps,该框架将基于tokens和基于PDG的代码克隆检测方法结合,又引入了胶囊网络模型(CapsNet)。首先通过数据集分区和语义签名过滤不存在克隆现象的克隆对,并确定代码的tokens值。其次,生成PDG,提取源代码的数据依赖和控制依赖。最后,通过tokens值确定Type-1&2的克隆代码,通过改进的模型RCapsNet实现Type-3&4克隆代码的检测。