Web服务以易用性、后台代码透明性、平台无关性等优势获得了更多普及度,也使得更多攻击者将注意力放在针对web服务的攻击方面。为了给web服务提供信息安全保证,本文研究设计一个安全分析工具,以用于检测web服务网络中的潜在安全漏洞,并根据用户需求制定相应的缓和方案。基于代码分析(代码审核)技术,提出一种基于程序切片的web服务安全分析方法。通过解析web服务协议,将外部接口转化为Java语句形式,对源程序执行切片获得接口信息流;根据用户指定的关键信息生成关键信息语句集合,匹配获得的接口信息流,若两者发生重合,判定存在潜在的安全漏洞。研究web服务网络中安全漏洞的扩散问题。根据接口调用关系和切片结果,判断关键信息是否在两个web服务间被传递泄露。从添加外部安全措施和消除安全漏洞两种角度,针对潜在的安全漏洞生成相应的缓和方案。以此为理论基础,在Eclipse开发平台上设计并实现了一个包括切片器模块、web服务分析器模块和安全报告功能的安全分析工具。从安全性需求角度出发,该安全分析工具用于发现web服务中潜在的信息泄露安全漏洞,为web服务开发人员提供了相对自动化的工具支持。通过提高对关键信息或敏感数据的保护力度,降低对开发人员在安全知识方面的要求,有利于开发速度的改善和产品中安全漏洞的减少,为构建安全可靠的软件起到了良好作用。