通過高級(jí)靜態(tài)分析進(jìn)行特定于域的屬性檢查

眾所周知，高級(jí)靜態(tài)分析工具擅長發(fā)現(xiàn)程序中的一般缺陷。借助自定義的屬性檢查器，最終用戶還可以擴(kuò)展它們，以查找特定應(yīng)用程序特有的特定于域的錯(cuò)誤。

先進(jìn)的靜態(tài)分析工具使用復(fù)雜的全程序、路徑敏感技術(shù)來發(fā)現(xiàn)深層語義問題，包括安全缺陷和安全漏洞。這些工具識(shí)別的幾個(gè)缺陷可以在CWE/SANS前25個(gè)最危險(xiǎn)的編程錯(cuò)誤中找到，其中列出了為了降低安全風(fēng)險(xiǎn)而要避免的最重要的錯(cuò)誤。

具體來說，開箱即用的高級(jí)靜態(tài)分析工具可以找到通用編程缺陷。來自靜態(tài)分析工具的典型通用報(bào)告可能會(huì)顯示警告，例如未初始化的變量、緩沖區(qū)溢出、無法訪問的條件和無法訪問的調(diào)用等;但是，并非所有安全漏洞或安全錯(cuò)誤都是由一般問題引起的。許多缺陷是特定應(yīng)用所獨(dú)有的。

這些工具的一個(gè)經(jīng)常被低估的方面是它們是可擴(kuò)展的，因此通常也可以對(duì)其進(jìn)行配置或編程以查找違反特定于域的規(guī)則的情況。因此，如果開發(fā)團(tuán)隊(duì)有自己的內(nèi)部規(guī)則來使用專有API，或者要求程序員使用特定的習(xí)慣用語，那么通?？梢跃帉懸粋€(gè)檢查器來表示違反這些規(guī)則。因此，程序員通常只需很少的編程工作，就可以顯著增加他們從工具中獲得的價(jià)值。

一個(gè)常見的用例是當(dāng)發(fā)生錯(cuò)誤并觸發(fā)漫長而痛苦的診斷和調(diào)試期時(shí)。找到缺陷后，明智的做法是首先在代碼中查找重復(fù)錯(cuò)誤的其他位置，然后采取措施檢測錯(cuò)誤是否再次發(fā)生。對(duì)現(xiàn)有代碼和新代碼運(yùn)行自定義檢查可能是實(shí)現(xiàn)此目的的有效、低成本方法。這些工具的工作原理以及如何自定義它們的檢查器是使用 CodeSonar 中的代碼片段描述的，盡管這些原則也可以與其他高級(jí)靜態(tài)分析工具一起使用。

高級(jí)靜態(tài)分析的工作原理

要了解擴(kuò)展的不同編寫方式，首先要了解什么是靜態(tài)分析，以及靜態(tài)分析工具如何在后臺(tái)工作。

靜態(tài)分析工具的工作方式與編譯器非常相似。他們將源代碼作為輸入，然后對(duì)其進(jìn)行解析并轉(zhuǎn)換為中間表示 （IR）。高級(jí)靜態(tài)分析工具架構(gòu)的框圖如圖 1 所示。編譯器將使用 IR 生成目標(biāo)代碼，而靜態(tài)分析工具保留 IR，而檢查器通常通過遍歷或查詢 IR 來實(shí)現(xiàn)，查找指示缺陷的特定屬性或模式。

圖1：高級(jí)靜態(tài)分析工具的架構(gòu)

高級(jí)工具從復(fù)雜的符號(hào)執(zhí)行技術(shù)中獲得強(qiáng)大功能，這些技術(shù)通過控制流圖探索路徑。這些算法跟蹤程序的抽象狀態(tài)，并知道如何使用該狀態(tài)來排除對(duì)不可行路徑的考慮。

特定于域的屬性的檢查器可以訪問這些表示形式，并以各種方式利用分析算法。

自定義檢查器

最終用戶如何創(chuàng)作自定義屬性檢查器？這在很大程度上取決于屬性的性質(zhì)，因此有幾種機(jī)制可用：

可以通過向配置文件添加指令來擴(kuò)展現(xiàn)有檢查器。

用戶可以向其代碼添加注釋，以指示分析查找某些屬性。如果用戶不希望干擾源代碼，則可以以面向方面的方式在側(cè)面完成這些注釋。

API 允許用戶訪問所有中間表示形式。通常，使用訪問者模式，允許擴(kuò)展利用分析已在執(zhí)行的遍歷。

讓我們仔細(xì)看看這些機(jī)制。

配置文件

這些先進(jìn)的靜態(tài)分析工具實(shí)現(xiàn)了數(shù)十個(gè)檢查器。通常，用戶需要一個(gè)與內(nèi)置檢查器略有不同的檢查器，并且其中許多檢查器都設(shè)計(jì)為可擴(kuò)展的。一類檢查器查找禁止使用的函數(shù)。例如，眾所周知，C 庫函數(shù) get 是不安全的。檢查器由一個(gè)階段實(shí)現(xiàn)，該階段查找對(duì)函數(shù)名稱的引用，然后將它們與一組正則表達(dá)式進(jìn)行匹配。通過向配置文件添加行來向此集合添加其他正則表達(dá)式是一件簡單的事情。

代碼注釋

編寫檢查器的第二種方法是向代碼添加注釋。

例如，假設(shè)有一個(gè)名為 foo 的內(nèi)部函數(shù)采用單個(gè)整數(shù)參數(shù)，并且當(dāng)此參數(shù)為 -1 時(shí)引入了潛在的安全漏洞?？梢酝ㄟ^向foo主體添加一些代碼來實(shí)現(xiàn)對(duì)這種情況的檢查，如下所示：

void foo(int x)

{

#ifdef __CSURF__

csonar_trigger(x, “==”, -1,

“Dangerous call to foo()”);

#endif __CSURF__

…

}

#ifdef構(gòu)造可確保常規(guī)編譯器看不到此新代碼。但是，當(dāng)該工具分析此代碼時(shí)，會(huì)看到對(duì)csonar_trigger的調(diào)用。因此，此調(diào)用從未實(shí)際執(zhí)行，而是由工具解釋為對(duì)基礎(chǔ)分析引擎的指令。如果分析得出結(jié)論，可能滿足觸發(fā)條件，則它將發(fā)出帶有給定消息的警告。

大多數(shù)程序員不喜歡用這樣的注釋來混淆他們的代碼，所以有一種替代方法來實(shí)現(xiàn)這種檢查，允許它寫在單獨(dú)的文件中。當(dāng) foo 的源代碼不可用時(shí)，例如當(dāng)它位于第三方庫中時(shí)，此方法也適用。為此，檢查器的作者將編寫一個(gè)替換函數(shù)，如下所示：

void csonar_replace_foo(int x)

{

csonar_trigger(x, “==”, -1,

“Dangerous call to foo()”);

foo();

}

當(dāng)分析看到csonar_replace_foo的定義時(shí)，它會(huì)將代碼中的所有 foo 調(diào)用（csonar_replace_foo 內(nèi)部的調(diào)用除外）視為對(duì) csonar_replace_foo 的調(diào)用。

此觸發(fā)器習(xí)慣用法適用于檢查時(shí)態(tài)屬性，尤其是函數(shù)調(diào)用序列。假設(shè)有一條規(guī)則說，在 foo 執(zhí)行時(shí)，永遠(yuǎn)不應(yīng)該調(diào)用 bar?？梢园慈缦路绞綄?shí)施檢查：

static int foo_is_executing = 0;

void csonar_replace_foo(int x) {

foo_is_executing = 1;

foo(x);

foo_is_executing = 0;

}

void csonar_replace_bar(void) {

csonar_trigger(foo_is_executing,

“==”, 1,

“Call to bar from foo”);

bar();

}

請(qǐng)注意，全局狀態(tài)變量用于記錄 foo 是否處于活動(dòng)狀態(tài)。在輸入 foo 之前，它被設(shè)置為 1，然后在 foo 返回后重置為零。然后在 bar 中的觸發(fā)器中檢查此變量，如果設(shè)置為 1，將發(fā)出警告。

前面的示例演示如何檢查全局屬性。相同的機(jī)制可用于編寫對(duì)單個(gè)對(duì)象的屬性的檢查。可以將屬性附加到對(duì)象以跟蹤其狀態(tài)。

這種方法允許用戶幾乎像編寫動(dòng)態(tài)檢查一樣編寫靜態(tài)檢查。這種檢查的 API 很小，語言是 C，所以有一個(gè)溫和的學(xué)習(xí)曲線。這種簡單性具有欺騙性：該技術(shù)可用于實(shí)現(xiàn)相當(dāng)復(fù)雜的檢查。

用于中間表示的 API

實(shí)現(xiàn)自定義檢查的最終方法是使用提供對(duì)基礎(chǔ)表示形式 （IR） 的訪問權(quán)限的 API。一家公司使用此 API 查找用于處理硬件錯(cuò)誤的自定義習(xí)慣用法的沖突。

此 API 也可用于其他程序分析任務(wù)。例如，一家醫(yī)療設(shè)備公司主要使用一種工具，不僅識(shí)別其代碼中的潛在任務(wù)問題，而且還發(fā)出允許他們交互式探索堆棧配置屬性的信息。其他應(yīng)用程序包括收集代碼的自定義指標(biāo)和生成程序可視化工具的輸入。

可以使用訪問者模式編寫許多檢查 - 該函數(shù)作為給定類型的每個(gè) IR 元素的回調(diào)調(diào)用?？梢詾榭刂屏鲌D和語法樹中的文件、標(biāo)識(shí)符、子程序和節(jié)點(diǎn)定義訪問者。訪問者的接口允許與構(gòu)造進(jìn)行模式匹配。

CodeSonar具有一種特殊的訪問者類型，在控制流圖的路徑探索期間調(diào)用該訪問者。這允許檢查器作者編寫復(fù)雜的檢查，以利用該工具的內(nèi)置路徑敏感程序分析功能。這種檢查器的一個(gè)關(guān)鍵方面是它使用分析部分，消除了對(duì)不可行路徑的探索，這會(huì)自動(dòng)降低誤報(bào)結(jié)果的概率。

提高軟件質(zhì)量

先進(jìn)的靜態(tài)分析工具已成為軟件開發(fā)人員必不可少的工具，因?yàn)樗鼈兡軌虬l(fā)現(xiàn)嚴(yán)重的安全和安全缺陷。創(chuàng)作自定義檢查器是提高這些工具有效性的低成本方法。

審核編輯：郭婷