安全关键软件发生故障会给人民、国家利益造成极大危害,同时,其系统结构特点导致其故障很难预防,因此,代码安全性分析与评估技术受到越来越多的关注。源文件代码信息复杂,难以获取,与其他高级语言相比,C语言更加灵活,为代码安全性分析带来挑战,研究如何有效获取并保存代码信息,解决代码分析误报率高、实现复杂等问题,提高系统可扩展性具有重要的研究意义与应用价值。首先,提出一种高可扩展性的控制流提取模型,通过对源代码进行静态词法、语法分析获取代码控制流相关信息,并将该信息转化为控制流提取模型。通过缺陷模式匹配方式对控制流提取模型进行分析,检测代码缺陷。提取控制流信息,并对控制流进行切片剪枝,利用有限状态机实现对变量的跟踪与分析,增强对数据流异常的分析能力,解决单纯基于安全子集的缺陷模式匹配方法难以检测数据流异常的问题,提高代码分析准确度。从两个角度对代码安全隐患进行判断,提高软件缺陷的挖掘能力,保证软件可靠性。然后,基于代码分析结果,提出一种面向代码安全的代码安全性评估方法,将D-S证据理论与专家评分等级相结合构建可信指标树,设计可信置信度推理算法获取安全性评估结果。最后,指出基于控制流提取模型的扩展方法,将代码分析扩展到多线程领域,为多线程数据竞争的分析提供手段。基于parser generator与vs2008工具平台设计并实现支持《GJB5369-2005航天型号软件C语言安全子集》的代码分析工具Security_Analyzer,该工具实现控制流提取模型的抽取,基于控制流信息实现缺陷模式匹配分析,并提供对数据流异常的分析能力。通过对Linux源文件进行分析,证明该方法具有很强的代码缺陷挖掘能力,可有效挖掘代码中安全隐患,并具有很好的扩展能力。