随着计算机技术的快速发展,软件在各行各业得到了广泛应用,它已经成为我们日常生活不可缺少的组成部分。软件经过编译和测试,每千行代码中平均有10-20个缺陷。虽然软件公司通常花费超过80%的开发预算在质量控制上,但缺陷仍然存在,不断发布的补丁就是其表现。计算机软件日益庞大和复杂,使得软件中的漏洞越来越难以发现。在软件生存期中软件测试占有重要地位,是验证软件正确性及检测软件漏洞的重要手段。如何通过软件测试提高软件的质量及安全性是一个需要研究人员及软件公司关注的问题。和传统的采用测试用例的动态软件测试技术相比,静态分析技术不需要实际运行程序,通过分析程序源码或中间代码的方式,检查程序中潜在的错误。静态分析虽然具有优势,但也存在不足之处。现有静态分析工具在检测源码时大都存在误报以及漏报的情况,而且问题比较严重。如何降低静态分析工具在检测错误时的误报率和漏报率,也是研究人员及软件公司关注的问题。本文以软件测试中的静态分析技术为基础,主要研究了C程序中数组越界、未初始化变量和空指针解引用等软件漏洞的检查。通过阅读国内外大量文献,总结出传统软件测试技术的不足。通过对比研究静态分析的各种测试方法,指出现有静态分析工具的局限性。在以上理论知识的基础上,在Linux开发环境下,基于开源工具CallTree的源代码,开发出一种支持用户自定义属性规则的静态分析工具CT_Check,并且定义了一组原语操作便于属性规则文件的编写。开发过程中使用严格的控制流图和函数调用图生成算法,使得CT_Check具有低误报率和低漏报率的特点。最后,本文通过分类测试包含使用未初始化变量、数组越界、空指针解引用等错误的小程序以及综合测试较大系统的源码证明了该工具的有效性。