当前位置：网站首页>南京大学静态软件分析（static program analyzes）-- introduction 学习笔记

南京大学静态软件分析（static program analyzes）-- introduction 学习笔记

2022-06-21 16:02:00 【pythonxxoo】

优质资源分享

学习路线指引（点击解锁）	知识定位	人群定位
🧡 Python实战微信订餐小程序 🧡	进阶级	本课程是python flask+微信小程序的完美结合，从项目搭建到腾讯云部署上线，打造一个全栈订餐系统。
Python量化交易实战	入门级	手把手带你打造一个易扩展、更安全、效率更高的量化交易系统
阅读目录(Content)

一、Programming Languages体系
二、Static Analysis定义
三、Why we need Static Analysis
四、Rice’s Theorem – 静态分析的局限
五、静态程序分析与类似技术的对比

静态程序分析
动态软件测试
形式化语义验证

回到顶部(go to top)# 一、Programming Languages体系

静态程序分析是编程语言中应用层面下的一个细分领域，它是一个非常重要的核心内容。

在理论部分，考虑的是如何设计一个语言的语法和语义，如何设计语言的类型系统等等问题。在过去十年中，语言核心几乎没有变化
有了语言的语法、语义和类型系统之后，我们需要支撑语言的运行。因此，在环境部分，需要考虑如何为运行中的程序提供运行时环境——如何设计编译器，在运行时需要怎样的支持（如内存的分配管理）等等。语言承载环境处于一个缓慢提升的阶段，主要集中在硬件设备以及高性能编程优化方面
变化最大的是程序分析，因为随着IT、云计算、软件SaaS的快速发展，软件的规模变得更大、结构更复杂、数量更多。如何确保系统的可靠性、安全性和其他承诺，如何自动合成一个程度，成为了一个日趋热门的研究和工程化领域

回到顶部(go to top)# 二、Static Analysis定义

Static analysis analyzes a program P to reason about its behaviors and determines whether it satisfies some properties before running P.

Does P contain any private information leaks?
Does P dereference any null pointers?
Are all the cast operations in P safe?
Can v1 and v2 in P point to the same memory location?
Will certain assert statements in P fail?
Is this piece of code in P dead (so that it could be eliminated)?
…

上图中的两种答案在静态分析语义中都是对的，他们分别代表了两种求解方式：

分支穷举：耗时，但是精确
符号执行：快速，但是不那么精确

Static Analysis: ensure (or get close to) soundness, while making good trade-offs between analysis precision and analysis speed.

Two Words to Conclude Static Analysis：

Static Analysis = Abstraction + Over-approximation

举一个具体的例子：通过静态分析，判断一段PHP代码是否能存在外部任意参数执行风险，即是否是Webshell。要完成这个静态分析过程，需要进行如下处理：

Abstraction
Over-approximation
- Transfer functions
- Control flows

原始代码如下：

<span style="color: rgba(0, 0, 0, 1)"php
    v1 = 1;
 v2 = 2;
 v3 = $\_POST[1];
 v4 = $\_POST[2];
 v5 = v3 == 1 ? v3 : 5;
 $$\_POST[3] = $\_POST[4];  // $\_POST[4] = v6

    if(v3 == 1){
 eval(v5);
 }
 echo "hello world";
?>

我们先来看Abstraction抽象，

通俗地理解Abstraction抽象，就是将程序从原始的、高维的源代码空间，映射到一个抽象的、低维的符号空间。符号化后，后续的优化、分析、处理都会更加方便。

接下来看Over-approximation: Transfer Functions转化函数，

In static analysis, transfer functions define how to evaluate different program statements on abstract values.
Transfer functions are defined according to “analysis problem” and the “semantics” of different program statements.

转化函数定义了抽象符号的运算结果，需要注意的是，转换函数和具体的语义和待分析问题有关.

需要注意的是，因为在Abstraction抽象过程中进行了值域空间的降维抽象，所以在转换函数映射中，静态符号执行和动态实际实行的结果之间，是存在差异的，这是不可避免的。

接下来看Over-approximation: Control Flows控制流，

As it’s impossible to enumerate all paths in practice, flow merging (as a way of over-approximation) is taken for granted in most static analyses.

在静态分析中，分支流合并是常用的分支推断技术，提升了Soundness的同时，也导致Completeness的下降，从而导致了不可避免的误报问题。

回到顶部(go to top)# 三、Why we need Static Analysis

近年来，程序复杂度越来越高，可靠性和安全性越来越难保证
- Null pointer dereference, memory leak, etc.
- 空指针引用与内存泄漏等：几乎每个程序编写者都被这两个问题所困扰过
对程序可靠性、安全性进行分析
- Private information leak, injection attack, etc.
- 隐私信息泄漏：这一问题在移动应用中较为普遍
- 注入攻击：这是网络安全中非常常见的议题
为编译优化提供基础技术
- Dead code elimination, code motion, etc.
- 死代码消除：在编译器的机器无关优化环节，将不会对程序执行结果产生影响的代码（即死代码）删除。
- 循环不变量的代码移动：在编译器的机器无关优化环节，在保证不影响程序执行结果的情况下，将循环中的特定语句移动到循环外，使得程序运行时执行的语句数减少。更为详细的解释可以参考StackOverFlow上的回答。
程序理解（调用栈、自动补全等）
- IDE call hierarchy, type indication, etc.
- 为集成开发环境的功能提供帮助：当你使用VS/Idea/Clion/Eclipse/Android Studio等等IDE时，将鼠标悬停在代码上，IDE能够动态地分析并提示你所悬停对象的相关信息，背后使用的技术就是静态程序分析。
更深入地理解编程语言的语法语义
自然地写出更可靠、安全、高效的程序

回到顶部(go to top)# 四、Rice’s Theorem – 静态分析的局限

Any non-trivial property of the behavior of programs in a r.e.(recursively enumerable) language is undecidable.”

non-trivial properties：

~= interesting properties
~= the properties related with run-time behaviors of programs

按照莱斯定律，「完美静态分析」有两个核心特征：

Sound（完全覆盖）
Complete（精确推断）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OHg7Xvvn-1655786833176)(https://img2022.cnblogs.com/blog/532548/202205/532548-20220516152556784-1839586499.png)]

如果一段程序是“non-trivial”的，则不存在一个完美的静态分析程序，可以同时满足Sound和Complete特征。换到工业界的术语就是，误报和漏报无法同时达到100%。

在实际使用中，我们并不是追求「完美静态分析」，而是追求「有用的静态分析」，即满足如下两个核心特征：