随着软件系统应用领域不断扩大,对于软件和信息系统的攻击日益增多,人们对软件安全的要求不断提升。为此,在软件开发和测试过程中,工程师使用静态代码分析系统对软件代码进行安全性扫描,并评估分析报告,只有通过安全性评估的软件才可以部署至线上运行。然而,传统代码分析是保守的,为不遗漏安全风险,系统往往会抛出大量误报,这些误报增加了安全工程师工作量,进而对软件开发进度产生影响。随着机器学习领域的发展,学术界已将机器学习算法运用于代码分析以发现漏洞或降低误报,然而这些工作只适用于小规模程序,对于在大规模应用还存在着种种问题。本系统旨在将学术研究成果应用于工业界实际项目中,面向Web开发常用的Java语言,利用污点分析、程序切片和BLSTM为开发或安全工程师提供更准确的代码扫描服务,进而减轻用户工作量,保证软件开发进度和质量。在污点分析方面,本系统利用Find Security Bugs的大量规则,保证低漏报的同时,对该工具的输出进行改进,使之反馈更详细的污点传播路径,增强报告可解释性;接着,本系统利用程序切片技术,对每一个漏洞实例进行代码切片,为了保证切片效率和稳定性,本文针对实际Jar包对切片器进行优化并提出分段切片思想,对于一个漏洞报告,将其对应的污点传播路径分解为小的污染流片段集合,再对每一个片段进行后向程序切片;最后,系统通过BLSTM模型,对预处理后的漏洞切片集合做预测,根据切片的预测结果推导漏洞实例本身是否为误报。本系统目前已代替传统污点传播分析引擎在线上部署,同时实验结果表明,本系统可以在可接受的扫描时间下,取得更加准确的扫描结果。在效率上,本系统优化传统切片,每个项目的整体扫描时间不超过1小时,在准确性上,本系统误报预测精确率达90.53%,即相对于单纯的污点传播,本系统在遗漏少量真实漏洞的前提下,排除25.44%误报,大大减轻安全运营人员的代码审计工作量,从而在整体上加快软件开发过程。