靜態(tài)分析如何提高多核平臺(tái)的安全性

多核處理器在嵌入式設(shè)備中無(wú)處不在，但是對(duì)于開發(fā)安全關(guān)鍵型設(shè)備來(lái)說，仍然是一個(gè)重大挑戰(zhàn)。多核處理器提供真正的并發(fā)性，意味著需要真正多線程的編程，這仍舊很難處理。在任務(wù)關(guān)鍵型軟件中，靜態(tài)分析是關(guān)鍵，因?yàn)樗梢圆蹲降絺鹘y(tǒng)測(cè)試(例如單元、功能和系統(tǒng)測(cè)試)遺漏的缺陷，及開發(fā)者花費(fèi)數(shù)個(gè)小時(shí)甚至許多天才能解決的缺陷。在安全與保安關(guān)鍵型系統(tǒng)中，多核平臺(tái)的優(yōu)勢(shì)必須大于風(fēng)險(xiǎn)。

安全關(guān)鍵型系統(tǒng)中的多核

多核處理器及其相應(yīng)的硬件平臺(tái)為安全關(guān)鍵型系統(tǒng)提供許多重要的功能：

1.分區(qū)：一個(gè)單一硬件單元可以通過虛擬分區(qū)安裝多個(gè)操作系統(tǒng)和應(yīng)用軟件。多核CPU為強(qiáng)大的分區(qū)提供性能和處理器支持。

2.分割：類似于分區(qū)，但是可以將系統(tǒng)關(guān)鍵部分與非關(guān)鍵部分分割開來(lái)。例如，嵌入式平臺(tái)可以安裝一個(gè)實(shí)時(shí)操作系統(tǒng)，來(lái)控制一個(gè)帶用戶界面的強(qiáng)大且多功能的操作系統(tǒng)。

3.整合：多核平臺(tái)在單一平臺(tái)上提供分割功能，大幅減少產(chǎn)品所需的材料成本。提高單位電壓的處理器性能會(huì)降低運(yùn)行成本。

       圖1. 在多核平臺(tái)上采用虛擬分區(qū)的系統(tǒng)案例。按照關(guān)鍵性和功能來(lái)分割是具有可操作性的。

但是，多核處理器為多線程軟件引進(jìn)了真實(shí)且基于硬件層級(jí)的并發(fā)功能，而在開發(fā)編程中非常難偵測(cè)并解決潛在缺陷。盡管在極端情況下，可以向單一線程操作系統(tǒng)中強(qiáng)制施加安全關(guān)鍵性代碼，但是效率卻非常低。選擇適當(dāng)?shù)牟l(fā)程序設(shè)計(jì)和正確的工具可以使得多核處理器上編程的風(fēng)險(xiǎn)較低。

傳統(tǒng)單元測(cè)試與多核并發(fā)編程比較

一般來(lái)說，單元測(cè)試假設(shè)為單線程操作系統(tǒng)——為預(yù)計(jì)輸出提供輸入和輸出檢查。在多線程編程中，“單元”之間的關(guān)系復(fù)雜，正確的測(cè)試方法是需要優(yōu)先考慮的因素。多核平臺(tái)加入了真實(shí)的硬件并行行，這就意味著線程是真實(shí)并行運(yùn)行的。此外，事件在系統(tǒng)中的計(jì)劃和調(diào)度變得不確定，因?yàn)橹噶罱诲e(cuò)在可用的處理器內(nèi)核(或者超線程CPU線程)中。下圖顯示了從兩個(gè)指令和兩個(gè)線程到三個(gè)指令與兩個(gè)線程之間交錯(cuò)的復(fù)雜性。根據(jù)安全關(guān)鍵程度，這可能會(huì)被禁止。如果不禁止，那么就意味著需要特別小心，以確保正確操作。

這種復(fù)雜性顯著增加了測(cè)試的工作量、缺陷的風(fēng)險(xiǎn)度和脆弱性。幸運(yùn)地是，靜態(tài)分析工具可以幫助檢測(cè)數(shù)據(jù)訪問沖突情況和同步缺陷，這些在單元測(cè)試和次級(jí)單元測(cè)試中都很難被探測(cè)出來(lái)。

靜態(tài)分析，偵測(cè)并發(fā)問題

靜態(tài)分析工具創(chuàng)建分析軟件的內(nèi)部表征(IR)，以推理出預(yù)計(jì)的行為。作為這種推理的一部分，它可以偵測(cè)可能會(huì)超越傳統(tǒng)測(cè)試技術(shù)的沖突情況和并行性問題。GrammaTech CodeSonar可以偵測(cè)出多線程并行應(yīng)用程序中的以下復(fù)雜缺陷：

----數(shù)據(jù)沖突：當(dāng)兩個(gè)線程都訪問一個(gè)共享數(shù)據(jù)，且沒有清晰且正確的同步時(shí)，會(huì)出現(xiàn)數(shù)據(jù)沖突。這種錯(cuò)誤會(huì)導(dǎo)致系統(tǒng)處于不穩(wěn)定狀態(tài)，可能會(huì)偶爾隨機(jī)出現(xiàn)。

----死鎖：當(dāng)單線程通過同步機(jī)制訪問共享資源，但沒有為其它線程訪問釋放時(shí)，就會(huì)出現(xiàn)死鎖。這通常是由于同時(shí)采用了多種同步機(jī)制(鎖定一個(gè)資源后再鎖定第二個(gè)，但仍然處于等待狀態(tài))。

----進(jìn)程饑餓現(xiàn)象：當(dāng)線程被阻塞在一個(gè)同步對(duì)象上很長(zhǎng)一段時(shí)間時(shí)，就會(huì)發(fā)生饑餓現(xiàn)象(starvation)。在實(shí)時(shí)軟件中，這會(huì)影響系統(tǒng)運(yùn)行，或觸發(fā)監(jiān)視警告。

----不當(dāng)同步：濫用線程同步源語(yǔ)，例如缺失鎖定或解鎖對(duì)導(dǎo)致不可預(yù)測(cè)的系統(tǒng)行為。CodeSonar能探測(cè)到軟件中的多種鎖定和解鎖亂用。

安全與保安的影響

并發(fā)錯(cuò)誤和不當(dāng)線程行為對(duì)于開發(fā)者進(jìn)行偵測(cè)、診斷和修復(fù)來(lái)說是一個(gè)令人頭疼的問題。由于這些錯(cuò)誤會(huì)對(duì)系統(tǒng)行為產(chǎn)生重大影響，因此，它們會(huì)產(chǎn)生巨大的安全與保安風(fēng)險(xiǎn)。在極端情況下，真正的并發(fā)編程會(huì)由于安全問題(會(huì)采用上述分區(qū)來(lái)處理)受到禁止。然而，利用真正并發(fā)會(huì)帶來(lái)性能優(yōu)勢(shì)，這兩者是并行的。采用時(shí)，需要加倍小心。

靜態(tài)分析工具為測(cè)試安全關(guān)鍵性系統(tǒng)提供獨(dú)一無(wú)二的好處，因?yàn)樗麄儾灰揽繙y(cè)試用例(反過來(lái)，這可能有缺陷)，并且解決傳統(tǒng)系統(tǒng)測(cè)試無(wú)法解決的問題。在部署的任務(wù)關(guān)鍵型軟件中，在部署前可能沒有發(fā)現(xiàn)的嚴(yán)重并行缺陷，使用CodeSonar會(huì)發(fā)現(xiàn)并解決。

由于潛在的影響，利用并發(fā)漏洞是一個(gè)慎重的考慮。觸發(fā)并發(fā)錯(cuò)誤會(huì)導(dǎo)致系統(tǒng)不穩(wěn)定和拒絕服務(wù)，甚至更糟。如同所有其它的潛在缺陷一樣，如果存在威脅向量，需要按照正確的優(yōu)先級(jí)進(jìn)行處理和響應(yīng)，那么并發(fā)錯(cuò)誤可能也是安全缺陷。

總結(jié)：

傳統(tǒng)測(cè)試往往忽視并發(fā)問題，只到系統(tǒng)測(cè)試階段才會(huì)發(fā)現(xiàn)，或者完全遺漏——此時(shí)已經(jīng)太遲、太危險(xiǎn)，也太過于昂貴了。在安全性系統(tǒng)中，這就意味著大量的返工和重新測(cè)試，因?yàn)轵?yàn)證環(huán)境意味著高額成本。GrammaTech CodeSonar在早期，即開發(fā)代碼時(shí)，通過系統(tǒng)行為分析，無(wú)須大量的測(cè)試，即可檢測(cè)這些問題，降低風(fēng)險(xiǎn)，節(jié)約成本。