靜態(tài)分析如何提高多核平臺的安全性

多核處理器在嵌入式設備中無(wú)處不在，但是對于開(kāi)發(fā)安全關(guān)鍵型設備來(lái)說(shuō)，仍然是一個(gè)重大挑戰。多核處理器提供真正的并發(fā)性，意味著(zhù)需要真正多線(xiàn)程的編程，這仍舊很難處理。在任務(wù)關(guān)鍵型軟件中，靜態(tài)分析是關(guān)鍵，因為它可以捕捉到傳統測試(例如單元、功能和系統測試)遺漏的缺陷，及開(kāi)發(fā)者花費數個(gè)小時(shí)甚至許多天才能解決的缺陷。在安全與保安關(guān)鍵型系統中，多核平臺的優(yōu)勢必須大于風(fēng)險。

安全關(guān)鍵型系統中的多核

多核處理器及其相應的硬件平臺為安全關(guān)鍵型系統提供許多重要的功能：

1.分區：一個(gè)單一硬件單元可以通過(guò)虛擬分區安裝多個(gè)操作系統和應用軟件。多核CPU為強大的分區提供性能和處理器支持。

2.分割：類(lèi)似于分區，但是可以將系統關(guān)鍵部分與非關(guān)鍵部分分割開(kāi)來(lái)。例如，嵌入式平臺可以安裝一個(gè)實(shí)時(shí)操作系統，來(lái)控制一個(gè)帶用戶(hù)界面的強大且多功能的操作系統。

3.整合：多核平臺在單一平臺上提供分割功能，大幅減少產(chǎn)品所需的材料成本。提高單位電壓的處理器性能會(huì )降低運行成本。

圖1. 在多核平臺上采用虛擬分區的系統案例。按照關(guān)鍵性和功能來(lái)分割是具有可操作性的。

但是，多核處理器為多線(xiàn)程軟件引進(jìn)了真實(shí)且基于硬件層級的并發(fā)功能，而在開(kāi)發(fā)編程中非常難偵測并解決潛在缺陷。盡管在極端情況下，可以向單一線(xiàn)程操作系統中強制施加安全關(guān)鍵性代碼，但是效率卻非常低。選擇適當的并發(fā)程序設計和正確的工具可以使得多核處理器上編程的風(fēng)險較低。

傳統單元測試與多核并發(fā)編程比較

一般來(lái)說(shuō)，單元測試假設為單線(xiàn)程操作系統——為預計輸出提供輸入和輸出檢查。在多線(xiàn)程編程中，“單元”之間的關(guān)系復雜，正確的測試方法是需要優(yōu)先考慮的因素。多核平臺加入了真實(shí)的硬件并行行，這就意味著(zhù)線(xiàn)程是真實(shí)并行運行的。此外，事件在系統中的計劃和調度變得不確定，因為指令交錯在可用的處理器內核(或者超線(xiàn)程CPU線(xiàn)程)中。下圖顯示了從兩個(gè)指令和兩個(gè)線(xiàn)程到三個(gè)指令與兩個(gè)線(xiàn)程之間交錯的復雜性。根據安全關(guān)鍵程度，這可能會(huì )被禁止。如果不禁止，那么就意味著(zhù)需要特別小心，以確保正確操作。

這種復雜性顯著(zhù)增加了測試的工作量、缺陷的風(fēng)險度和脆弱性。幸運地是，靜態(tài)分析工具可以幫助檢測數據訪(fǎng)問(wèn)沖突情況和同步缺陷，這些在單元測試和次級單元測試中都很難被探測出來(lái)。

靜態(tài)分析，偵測并發(fā)問(wèn)題

靜態(tài)分析工具創(chuàng )建分析軟件的內部表征(IR)，以推理出預計的行為。作為這種推理的一部分，它可以偵測可能會(huì )超越傳統測試技術(shù)的沖突情況和并行性問(wèn)題。GrammaTech CodeSonar可以偵測出多線(xiàn)程并行應用程序中的以下復雜缺陷：

----數據沖突：當兩個(gè)線(xiàn)程都訪(fǎng)問(wèn)一個(gè)共享數據，且沒(méi)有清晰且正確的同步時(shí)，會(huì )出現數據沖突。這種錯誤會(huì )導致系統處于不穩定狀態(tài)，可能會(huì )偶爾隨機出現。

----死鎖：當單線(xiàn)程通過(guò)同步機制訪(fǎng)問(wèn)共享資源，但沒(méi)有為其它線(xiàn)程訪(fǎng)問(wèn)釋放時(shí)，就會(huì )出現死鎖。這通常是由于同時(shí)采用了多種同步機制(鎖定一個(gè)資源后再鎖定第二個(gè)，但仍然處于等待狀態(tài))。

----進(jìn)程饑餓現象：當線(xiàn)程被阻塞在一個(gè)同步對象上很長(cháng)一段時(shí)間時(shí)，就會(huì )發(fā)生饑餓現象(starvation)。在實(shí)時(shí)軟件中，這會(huì )影響系統運行，或觸發(fā)監視警告。

----不當同步：濫用線(xiàn)程同步源語(yǔ)，例如缺失鎖定或解鎖對導致不可預測的系統行為。CodeSonar能探測到軟件中的多種鎖定和解鎖亂用。

安全與保安的影響

并發(fā)錯誤和不當線(xiàn)程行為對于開(kāi)發(fā)者進(jìn)行偵測、診斷和修復來(lái)說(shuō)是一個(gè)令人頭疼的問(wèn)題。由于這些錯誤會(huì )對系統行為產(chǎn)生重大影響，因此，它們會(huì )產(chǎn)生巨大的安全與保安風(fēng)險。在極端情況下，真正的并發(fā)編程會(huì )由于安全問(wèn)題(會(huì )采用上述分區來(lái)處理)受到禁止。然而，利用真正并發(fā)會(huì )帶來(lái)性能優(yōu)勢，這兩者是并行的。采用時(shí)，需要加倍小心。

靜態(tài)分析工具為測試安全關(guān)鍵性系統提供獨一無(wú)二的好處，因為他們不依靠測試用例(反過(guò)來(lái)，這可能有缺陷)，并且解決傳統系統測試無(wú)法解決的問(wèn)題。在部署的任務(wù)關(guān)鍵型軟件中，在部署前可能沒(méi)有發(fā)現的嚴重并行缺陷，使用CodeSonar會(huì )發(fā)現并解決。

由于潛在的影響，利用并發(fā)漏洞是一個(gè)慎重的考慮。觸發(fā)并發(fā)錯誤會(huì )導致系統不穩定和拒絕服務(wù)，甚至更糟。如同所有其它的潛在缺陷一樣，如果存在威脅向量，需要按照正確的優(yōu)先級進(jìn)行處理和響應，那么并發(fā)錯誤可能也是安全缺陷。

總結：

傳統測試往往忽視并發(fā)問(wèn)題，只到系統測試階段才會(huì )發(fā)現，或者完全遺漏——此時(shí)已經(jīng)太遲、太危險，也太過(guò)于昂貴了。在安全性系統中，這就意味著(zhù)大量的返工和重新測試，因為驗證環(huán)境意味著(zhù)高額成本。GrammaTech CodeSonar在早期，即開(kāi)發(fā)代碼時(shí)，通過(guò)系統行為分析，無(wú)須大量的測試，即可檢測這些問(wèn)題，降低風(fēng)險，節約成本。