本发明公开了一种基于数据流传播分析的Java空指针引用检测方法及系统，通过将Java应用程序的Jar包转化为Jimple类型的中间表示，抽取代码中的调用信息、指向信息等构建调用流图，通过调用流图结合传递规则分析得到引用安全性。本发明通过数据流的传播分析相比静态自然语义分析有着更好的检出率，尤其对于同一函数内产生的空指针引用，提高了检出率同时显著地降低了误报率。同时本发明的方法及系统相比其他工具包含了对系统调用函数以及私有函数两种的引用方式的检出支持，大幅度增加了空指针检出的覆盖率。