软件系统规模以及复杂性的不断增大,软件安全问题层出不穷,其产生的原因往往是程序本身在代码设计或实现过程中的错误或缺陷(称为漏洞),普通软件工程师的缺陷密度一般为50—250个缺陷/KLOC。在源码级别对程序进行漏洞扫描和安全审计,可以在源头上减少10%—50%安全漏洞的产生。但现存基于词法分析的静态漏洞扫描工具未充分考虑上下文,无法准确判别误报漏洞代码的固有特征,存在大量误报信息,开发人员需要手动筛选正报漏洞,不仅增大维护成本,甚至导致部分开发人员弃用扫描工具。为了降低目前漏洞扫描工具误报率,本文依托于公司的众包审核平台,设计并实现了一个人机协同Java字节码漏洞扫描系统。本文对静态漏洞扫描工具以及常见误报漏洞进行了分析,详细研究了字节码上下文提取、代码特征提取以及机器学习分类模型,同时融合众包专家审核,并结合实际场景中的漏洞扫描需求,实现该系统。首先,系统基于静态漏洞扫描工具对项目进行漏洞扫描,并确保其完备性。其次,基于Joana(Java Object-sensitive ANAlysis)程序切片工具对漏洞相关代码进行上下文提取,并基于N-gram语言模型对代码上下文进行特征提取。然后,利用基于完全匹配、随机森林算法的双层分类模型对扫描漏洞结果进行误报过滤。最后,将漏洞结果送予众包审核进行专家误报漏洞过滤,并将审核结果存储留作后续过滤模型的迭代训练。并根据最终漏洞结果为用户提供机器过滤以及专家审核融合的完备、低误报漏洞扫描报告。本系统主要分为交互展示模块、漏扫核心模块以及迭代学习模块,并使用Spring Boot框架、Pug模板引擎、微服务等技术与架构完成系统的实现。本文实现的人机协同Java字节码漏洞扫描系统提供低误报漏洞扫描服务。在OWASP数据集上实验表明,本系统在95.39%召回率的情况下,其精准率可以达到89.71%,与原版扫描工具相比,本系统将误报率减少近22%。本系统在确保低漏报率的基础上有效地降低传统静态漏洞扫描工具的误报率,从而节约维护成本,帮助开发者提高代码整体质量。目前,本系统已在公司平台上线,用于支撑公司静态漏洞扫描服务。