基于静态分析的Rust内存安全缺陷检测研究 报告人：徐辉 报告日期：2022.11.25 复旦大学 大纲 一、问题背景 二、Rust指针缺陷检测方法 三、实验结论 四、论文发表心得 大纲 一、问题背景 二、Rust指针缺陷检测方法 三、实验结论 四、论文发表心得 Rust语言 ❑ 系统级安全编程语言 ▪ 内存安全 ▪ 并发安全 ▪ 效率 2006年 2011年 2021年 Mozilla裁员Servo团队 AWS, Huawei, Google, Microsoft, Mozilla… Rust如何保障内存安全？ ❑ 内存安全问题产生的主要原因之一是指针别名导致悬空指针 ▪ 手动释放内存或调用析构函数 ▪ 函数返回时发生的自动析构或内存释放 ❑ Rust设计的目标之一是编译时检查指针别名（共享可变引用） ▪ 但一般意义上的指针分析是NP-hard问题 Option>>, } 方法一：智能指针 方法二：允许使用裸指针 Unsafe Rust ❑ Unsafe Rust功能： ▪ 解引用裸指针 ▪ 调用unsafe函数 ▪ 调用FFI（其它语言接口） ❑ 使用条件：必须标注unsafe let mut num = 5; let r1 = &num as *const i32; unsafe {

一键将 C/C++ 代码转换为 Python 能调用的代码 韦泽华 大家以前都是怎样调用C++代码呢？ 1. Cython 2. boost.python/pybind11 3. ctypes 先不讨论这些工具的优劣 先给大家介绍一下 如何使用c2py来调用C++代码 在此之前给大家看一下要调用的C++代码源文件 • 我肯定是会拿上期所的API来作示范： (看一眼就好了) so）文件 • 第二步，调用代码，并享受完备的type hint。 与其他工具的用法进行一下比较？ 与pybind11进行比较 • c2py：两个命令 • pybind11：1137行代码？ • 不， 其实是11,376行代码： 跟pybind11比算个什么事？根本 不在一个次元！ 要比就和不需要写C++代码的工 具比！ 与ctypes进行比较 • c2py:调用代码，并享受type hint。 hint。 • ctypes:调用代码？？ 如果把调用C++代码当作吃饭，那么： 工具 科技等级 手撸Cython 手撕猎物；钻木取火 Boost.python/pybind11 用猎枪打猎；在现代化的厨房里做菜 ctypes 在某个便利店里买吃的。（只卖番茄炒蛋） c2py 外卖app 所以 调用C++，认准 现代化的外卖app：c2py https://github.com/nanoric/c2py

第三届中国 Rust 开发者大会 安全高效的二进制序列化 Daniel Wang @ NEAR Borsh • 运行、编码效率 • 确定性 • 跨平台兼容性 二进制序列化的问题 Binary Object Representation Serializer for Hashing • 字节级别确定性 • 执行速度快 Borsh • 轻量级 • 每一个对象与其二进制表示之间都存在一个双射映射

编写安全的Python代码 邓良驹 2019.10.19 思考题 if user.balance >= product.price: user.balance -= product.price ? 目录 CONTENTS 常见不安全代码 代码检查的工具 总结：如何规避风险 常见不安全代码 小心 eval 应对： 在生产环境中，任何情况下都不要使用eval。 import sys "Permission denied!" user.balance += 100 应对： Assert 语句不应用于业务逻辑条件检查，只应用于程序员之间的 沟通，如单元测试、数据边界检查、API调用约束说明等。 小心 pickle import os import pickle class ShellExp: def __reduce__(self): return (os.system "__main__": shellcode = pickle.dumps(ShellExp()) pickle.loads(shellcode) 应对： 绝不对不可信/未认证数据进行unpickle，使用更安全的JSON 或YAML做序列化。必须使用pickle时在沙盒环境执行。 小心 PyYAML 应对： 使用yaml.safe_load，必要时编写自定义 Loader 做更严格的检查。 对不可信来源的序列化检查后操作。

解放Python的 表达力，性能和安全性 Thautwarm 目录 CONTENTS 语法和语义扩展 JIT 静态类型 语法和语义扩展 表达力的扩展， 可用性的保留，白来的午餐？ 演示一小部分: 模式匹配, Quick Lambda, Pipe运算 语言决定思维模型 GNU-APL C++ Haskell 说 到 质 数 � 人 们 想 到 什 么 � 语言决定思维模型 发布，C扩展等等），在使用该系统后得以保持，拥有 工业级的可靠性和稳定性 6 如何工作？ Python Import 忽略Cache Loader, 只对源代码Loader 重写get_data方法 调用父get_data方法， 拿到源代码 moshmosh.extension. perform_extension 源码变换 扩展的语法和语义 并非naïve的，不卫生的 源码变换; 其作用是对 moshmosh/extensions/pattern_matching pin(val): 用作用域内的值val进行比较的模式 and: 满足多个解构规则的组合模式 or: 满足其中一个解构规则的组合模式 A(a, …): 调用A.__match__进行模式匹配 isinstance(type): 检查类型的pattern (a, *b, c): 匹配tuple [a, *b, c]: 匹配列表 演示 Pattern-Matching

第4章：程序源代码基本元素介绍 第5章：关键字和标识符 第6章：基本类型和它们的字面量表示 第7章：常量和变量 - 顺便介绍了类型不确定值和类型推断 第8章：运算操作符 - 顺便介绍了更多的类型推断规则 第9章：函数声明和调用 第10章：代码包和包引入 第11章：表达式、语句和简单语句 第12章：基本流程控制语法 第13章：协程、延迟函数调用、以及恐慌和恢复 Go类型系统 第14章：Go类型系统概述 不同于继承的类型扩展方式 第25章：非类型安全指针 第26章：泛型 - 如何使用和解读组合类型 第27章：反射 - reflect标准库包中提供的反射支持 一些专题 第28章：代码断行规则 第29章：更多关于延迟函数调用的知识点 第30章：一些恐慌/恢复用例 第31章：详解panic/recover原理 - 也解释了什么是“函数退出阶段” 第32章：代码块和标识符作用域 目录 2 第33章：表达式估值顺序规则 boxing）和反射 （reflection）。 支持指针。 支持函数闭包（closure）。 支持方法。 支持延迟函数调用（defer）。 支持类型内嵌（type embedding）。 支持类型推断（type deduction or type inference）。 内存安全。 自动垃圾回收。 良好的代码跨平台性。 自定义泛型（从Go 1.18开始）。 除了以上特性，Go还有如下亮点： Go的语法很简洁并且和其它流行语言相似。

第4章：程序源代码基本元素介绍 第5章：关键字和标识符 第6章：基本类型和它们的字面量表示 第7章：常量和变量 - 顺便介绍了类型不确定值和类型推断 第8章：运算操作符 - 顺便介绍了更多的类型推断规则 第9章：函数声明和调用 第10章：代码包和包引入 第11章：表达式、语句和简单语句 第12章：基本流程控制语法 第13章：协程、延迟函数调用、以及恐慌和恢复 Go类型系统 第14章：Go类型系统概述 不同于继承的类型扩展方式 第25章：非类型安全指针 第26章：泛型 - 如何使用和解读组合类型 第27章：反射 - reflect标准库包中提供的反射支持 一些专题 第28章：代码断行规则 第29章：更多关于延迟函数调用的知识点 第30章：一些恐慌/恢复用例 第31章：详解panic/recover原理 - 也解释了什么是“函数退出阶段” 第32章：代码块和标识符作用域 第33章：表达式估值顺序规则 boxing）和反射（reflection）。 支持指针。 支持函数闭包（closure）。 支持方法。 支持延迟函数调用（defer）。 支持类型内嵌（type embedding）。 支持类型推断（type deduction or type inference）。 内存安全。 自动垃圾回收。 良好的代码跨平台性。 自定义泛型（从Go 1.18开始）。 除了以上特性，Go还有如下亮点：

第4章：程序源代码基本元素介绍 第5章：关键字和标识符 第6章：基本类型和它们的字面量表示 第7章：常量和变量 - 顺便介绍了类型不确定值和类型推断 第8章：运算操作符 - 顺便介绍了更多的类型推断规则 第9章：函数声明和调用 第10章：代码包和包引入 第11章：表达式、语句和简单语句 第12章：基本流程控制语法 第13章：协程、延迟函数调用、以及恐慌和恢复 Go类型系统 第14章：Go类型系统概述 不同于继承的类型扩展方式 第25章：非类型安全指针 第26章：泛型 - 如何使用和解读组合类型 第27章：反射 - reflect标准库包中提供的反射支持 一些专题 第28章：代码断行规则 第29章：更多关于延迟函数调用的知识点 第30章：一些恐慌/恢复用例 第31章：详解panic/recover原理 - 也解释了什么是“函数退出阶段” 第32章：代码块和标识符作用域 第33章：表达式估值顺序规则 boxing）和反射（reflection）。 支持指针。 支持函数闭包（closure）。 支持方法。 支持延迟函数调用（defer）。 支持类型内嵌（type embedding）。 支持类型推断（type deduction or type inference）。 内存安全。 自动垃圾回收。 良好的代码跨平台性。 自定义泛型（从Go 1.18开始）。 除了以上特性，Go还有如下亮点：

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 20.1. 不安全 Rust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542 22.2. B - 运算符与符号 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 昭著的陷阱。即使谨慎的实践者，亦唯恐代码出现漏洞、崩溃或损坏。 Rust 破除了这些障碍：它消除了旧的陷阱，并提供了伴你一路同行的友好、精良的工具。想 要 “深入” 底层控制的程序员可以使用 Rust，无需时刻担心出现崩溃或安全漏洞，也无需因为 工具链不靠谱而被迫去了解其中的细节。更妙的是，语言设计本身会自然而然地引导你编写出 可靠的代码，并且运行速度和内存使用上都十分高效。 已经在从事编写底层代码的程序员可以使用 Rust

...................................................................................... 484 19.1. 不安全的 Rust ............................................................................................ .................................................................................. 580 21.2. B - 运算符与符号 ................................................................................................ 昭著的陷阱。即使谨慎的实践者，亦唯恐代码出现漏洞、崩溃或损坏。 Rust 破除了这些障碍：它消除了旧的陷阱，并提供了伴你一路同行的友好、精良的工具。想 要 “深入” 底层控制的程序员可以使用 Rust，无需时刻担心出现崩溃或安全漏洞，也无需因为 工具链不靠谱而被迫去了解其中的细节。更妙的是，语言设计本身会自然而然地引导你编写出 可靠的代码，并且运行速度和内存使用上都十分高效。 已经在从事编写底层代码的程序员可以使用 Rust