南京大学 静态软件分析(static program analyzes)-- introduction 学习笔记
一、Programming Languages体系
静态程序分析是编程语言中应用层面下的一个细分领域,它是一个非常重要的核心内容。
- 在理论部分,考虑的是如何设计一个语言的语法和语义,如何设计语言的类型系统等等问题。在过去十年中,语言核心几乎没有变化
- 有了语言的语法、语义和类型系统之后,我们需要支撑语言的运行。因此,在环境部分,需要考虑如何为运行中的程序提供运行时环境——如何设计编译器,在运行时需要怎样的支持(如内存的分配管理)等等。语言承载环境处于一个缓慢提升的阶段,主要集中在硬件设备以及高性能编程优化方面
- 变化最大的是程序分析,因为随着IT、云计算、软件SaaS的快速发展,软件的规模变得更大、结构更复杂、数量更多。如何确保系统的可靠性、安全性和其他承诺,如何自动合成一个程度,成为了一个日趋热门的研究和工程化领域
二、Static Analysis定义
Static analysis analyzes a program P to reason about its behaviors and determines whether it satisfies some properties before running P.
- Does P contain any private information leaks?
- Does P dereference any null pointers?
- Are all the cast operations in P safe?
- Can v1 and v2 in P point to the same memory location?
- Will certain assert statements in P fail?
- Is this piece of code in P dead (so that it could be eliminated)?
- …
上图中的两种答案在静态分析语义中都是对的,他们分别代表了两种求解方式:
- 分支穷举:耗时,但是精确
- 符号执行:快速,但是不那么精确
Static Analysis: ensure (or get close to) soundness, while making good trade-offs between analysis precision and analysis speed.
Two Words to Conclude Static Analysis:
Static Analysis = Abstraction + Over-approximation
举一个具体的例子:通过静态分析,判断一段PHP代码是否能存在外部任意参数执行风险,即是否是Webshell。要完成这个静态分析过程,需要进行如下处理:
- Abstraction
- Over-approximation
- Transfer functions
- Control flows
原始代码如下:
<?php v1 = 1; v2 = 2; v3 = $_POST[1]; v4 = $_POST[2]; v5 = v3 == 1 ? v3 : 5; $$_POST[3] = $_POST[4]; // $_POST[4] = v6 if(v3 == 1){ eval(v5); } echo "hello world"; ?>
我们先来看Abstraction抽象,
通俗地理解Abstraction抽象,就是将程序从原始的、高维的源代码空间,映射到一个抽象的、低维的符号空间。符号化后,后续的优化、分析、处理都会更加方便。
接下来看Over-approximation: Transfer Functions转化函数,
- In static analysis, transfer functions define how to evaluate different program statements on abstract values.
- Transfer functions are defined according to “analysis problem” and the “semantics” of different program statements.
转化函数定义了抽象符号的运算结果,需要注意的是,转换函数和具体的语义和待分析问题有关.
需要注意的是,因为在Abstraction抽象过程中进行了值域空间的降维抽象,所以在转换函数映射中,静态符号执行和动态实际实行的结果之间,是存在差异的,这是不可避免的。
接下来看Over-approximation: Control Flows控制流,
As it’s impossible to enumerate all paths in practice, flow merging (as a way of over-approximation) is taken for granted in most static analyses.
在静态分析中,分支流合并是常用的分支推断技术,提升了Soundness的同时,也导致Completeness的下降,从而导致了不可避免的误报问题。
三、Why we need Static Analysis
- 近年来,程序复杂度越来越高,可靠性和安全性越来越难保证
- Null pointer dereference, memory leak, etc.
- 空指针引用与内存泄漏等:几乎每个程序编写者都被这两个问题所困扰过
- 对程序可靠性、安全性进行分析
- Private information leak, injection attack, etc.
- 隐私信息泄漏:这一问题在移动应用中较为普遍
- 注入攻击:这是网络安全中非常常见的议题
- 为编译优化提供基础技术
- Dead code elimination, code motion, etc.
- 死代码消除:在编译器的机器无关优化环节,将不会对程序执行结果产生影响的代码(即死代码)删除。
- 循环不变量的代码移动:在编译器的机器无关优化环节,在保证不影响程序执行结果的情况下,将循环中的特定语句移动到循环外,使得程序运行时执行的语句数减少。更为详细的解释可以参考StackOverFlow上的回答。
- 程序理解(调用栈、自动补全等)
- IDE call hierarchy, type indication, etc.
- 为集成开发环境的功能提供帮助:当你使用VS/Idea/Clion/Eclipse/Android Studio等等IDE时,将鼠标悬停在代码上,IDE能够动态地分析并提示你所悬停对象的相关信息,背后使用的技术就是静态程序分析。
- 更深入地理解编程语言的语法语义
- 自然地写出更可靠、安全、高效的程序
四、Rice’s Theorem -- 静态分析的局限
Any non-trivial property of the behavior of programs in a r.e.(recursively enumerable) language is undecidable.”
non-trivial properties:
- ~= interesting properties
- ~= the properties related with run-time behaviors of programs
按照莱斯定律,「完美静态分析」有两个核心特征:
- Sound(完全覆盖)
- Complete(精确推断)
如果一段程序是“non-trivial”的,则不存在一个完美的静态分析程序,可以同时满足Sound和Complete特征。换到工业界的术语就是,误报和漏报无法同时达到100%。
在实际使用中,我们并不是追求「完美静态分析」,而是追求「有用的静态分析」,即满足如下两个核心特征:
- Compromise soundness (false negatives,折中地漏报控制)
- Compromise completeness (false positives,折中地误报控制)
在实际工业场景中,Soundness往往是优先追求的目标,我们以Webshell静态代码分析为例说明。
如果追求Sound的目标,在进行静态代码分析的时候,完整性/覆盖度/高检出往往是优先追求的目标。在另一方面,相对的误报就不可避免了。
五、静态程序分析与类似技术的对比
静态程序分析
- 优点:
- 在选定的精度下能够保证没有bug
- 缺点:
- 学术门槛相对高。目前已知国内高校公开的课程资料只有北京大学,南京大学,国防科大,吉林大学的,且通俗易懂的教材稀少。作为一门计算机专业的高年级选修课,入门和提高都较困难。
动态软件测试
- 优点:
- 在工程中被广泛应用,并且有效。实现简单,便于自动化。
- 缺点:
- 无法保证没有bug。 这是无法遍历所有可能的程序输入的必然结果。
- 在当今的由多核与网络应用带来的并发环境下作用有限。 某个bug可能只在特定情况下发生,因而难以稳定地复现。
形式化语义验证
- 优点:
- 由于用数学的方法对程序做了抽象,能够保证没有bug。
- 缺点:
- 学术门槛较高,学习者必须有良好的数学基础才能入门。
- 验证代价较高,一般来说非常重要的项目会使用这一方式保证程序质量。甚至在操作系统这样重要的软件中,也并不一定会使用。
