摘要：為了使開發者能安全準確地使用第三庫接口,庫設計者提供了各種類型的安全提示(安全規約),進而保護應用程序免受因庫函數的誤用而造成的安全攻擊.然而,研究表明:開發者經常性不遵守這些安全規約,導致應用程序中引入了各種各樣的安全漏洞.為了評估該問題的影響與規模,進行了系統性的、大規模的對安全規約在安卓應用程序中違反情況的研究.結果表明:已有的安全規約由于不精確的描述、誤導性的代碼示例、錯誤的默認設置、碎片化以及缺少強制性檢查等原因而大大影響了其在實際運用中的有效性.為了使開發者能更好地遵守安全規約,提出了TipTracer,一個自動化的通用漏洞分析框架.TipTracer主要包含2個部分:1)TipTracer定義了一個能形式化描述安全規約的安全性語言,并利用該語言對已知的安全規約進行形式化表述;2)TipTracer實現了一個靜態代碼分析器,用于檢查應用程序是否滿足安全規約.最后,通過大規模的實驗分析,證明了TipTracer能有效且準確地對大規模的真實應用程序進行安全性分析.