本发明实施例提供一种识别代码缺陷的方法及装置，该方法包括：构建待识别代码的节点语法树；节点语法树中的各节点具有描述参数变量及函数的属性分支；针对待识别代码中待分析函数，从节点语法树中确定待分析函数对应的参数关联图；参数关联图用于表示与待分析函数中的参数变量存在指向关系的参数变量；确定参数关联图中是否存在外部可控的参数变量，若存在外部可控的参数变量，则确定待分析函数存在缺陷。如此，相比于现有技术中的抽象语法树通过代码中的语句建立节点以及通过规则匹配方式发现代码中的错误以及漏洞来说。本申请还可以通过参数关联图确定待识别代码中是否包含潜在缺陷，增加识别代码缺陷的准确性，降低代码审查人员的工作量。