1 简介
安全通常意味着加密,如下为一个普通的安全通信过程,它将hello加密为另一个无意义的字符串,在最后再进行解密。
而语言的类型安全性似乎完全式另一个事情。它涉及防止运行时错误,如OCaml的Obj.magic或C的Unsafe.cast,但这些可能导致不安全的逃逸。
安全语言通过静态类型检查提高效率,消除动态检查的需要。类型系统也影响优化,如Fortran早期用于数值效率。
编译器利用类型信息进行优化,如Titanium中指针范围分析提升并行性能。ML Kit Compiler的区域推断甚至能减少垃圾收集,实现基于堆栈的内存管理。
在所有语言的安全这方面,C 语言的漏洞数量最多,占过去 10 年中报告的所有漏洞的 50%。
在我们进一步深入研究之前,在评估这些项目时,我们应该考虑两个因素。虽然从表面上看,有些人可能会错误地认为 C 天生就更容易受到攻击,但事实并非如此。
对于初学者来说,编写的代码比任何其他语言都多,为发现漏洞提供了更多机会。
事实上,C语言的使用时间比大多数其他语言要长得多,并且是我们使用的大多数产品和平台的核心。因此,它必然比其他漏洞具有更多的已知漏洞
2 类型的效率和安全
语言的类型安全很少有绝对的。安全通常为程序员提供“逃生口”,例如对用其他语言编写的代码的外部函数调用,可能是不安全的语言。
事实上,这种逃生口有时会在语言本身内以受控形式提供——OCaml 中的 Obj.magic(Leroy, 2000), Unsafe.cast 在新泽西州执行标准ML 等 Modula-3 (Cardelli et al., 1989; Nelson, 1991) 和 C] (Wille, 2000)。
更进一步,提供一种旨在实施的“不安全的子语言”低级运行时设施,例如垃圾收集器。
特殊功能这种子语言的一部分只能在明确标记为不安全的模块中使用。
Cardelli (1996) 阐述了一种不同的语言安全性观点,区分所谓的捕获和未捕获的运行时错误。
捕获的错误会导致计算立即停止(或引发可以在程序中干净地处理的异常),而未被捕获错误可能允许计算继续(至少一段时间)。
未捕获错误的示例可能是访问超出末尾的数据像 C 这样的语言中的数组。在这种情况下,一种安全的语言可以防止运行时未捕获的错误。
还有一种观点侧重于可移植性。它可以表示为口号,“安全的语言完全由其程序员手册定义。”
让语言的定义成为程序员需要的一组东西理解以预测语言中每个程序的行为。
那么像C这样的语言的手册并不构成定义,由于某些程序的行为(例如,涉及未经检查的数组如果不知道特定 C 编译器如何在内存中布局结构等细节,则无法预测访问或指针算术),并且同一个程序在被不同的编译器执行时可能会有完全不同的行为。
相比之下,用于/和指定的手册(具有不同的严格程度)语言中所有程序的确切行为。一个类型良好的程序在任何正确的实现下都会产生相同的结果这些语言中。
3 效率
计算机科学中的第一类系统,从 1950 年代开始使用 Fortran (Backus, 1981) 等语言,被引入以提高效率。
通过区分整数值来提高数值计算的效率算术表达式和实值表达式;这允许编译器使用不同的表示并生成适当的机器指令原始操作。
在安全语言中,进一步的效率改进是通过消除许多需要的动态检查来获得保证安全(通过静态证明他们将永远得到满足)。
今天,大多数高性能编译器严重依赖收集到的信息在优化和代码生成阶段由类型检查器执行。甚至本身没有类型系统的语言的编译器努力恢复此类型信息的近似值。依赖类型信息的效率改进可能来自于一些令人惊讶的地方。
4 C语言的安全例子
最近已经表明,不仅代码使用类型分析生成的信息可以改进并行科学程序中的生成决策以及指针表示。在Titanium 语言 (Yelick et al., 1998) 使用类型推断技术来分析指针的范围,并能够做出明显更好的决策在此基础上,程序员显式地手动调整他们的程序。
而如下图缓冲区错误(CWE-119)是C语言中最常见的安全漏洞,与C++的漏洞配置文件类似。
这是可以理解的,因为其他语言中常见的大多数 CWE 都与 Web 和 Web 服务问题有关,而这些问题在 C 语言中无关紧要C++。
需要注意的是,这组漏洞(有时称为内存损坏)通常会产生严重后果。
在ML Kit Compiler中 使用了更强大的区域推断算法(Gifford、Jou velot、Lucassen 和 Sheldon,1987;Jouvelot 和 Gifford,1991;Talpin 和朱维洛,1992;托夫特和塔尔平,1994,1997; Tofte 和 Birkedal,1998 年)到将垃圾收集的大部分(在某些程序中,全部)替换为基于堆栈的内存管理。
下图显式了使用C语言实现的不同项目中的漏洞数量。
虽然大多数语言都用于构建数百甚至数千个包,但跟踪基于 C 语言构建的开源项目很容易。这使我们能够确切地了解哪些开源库在多年来漏洞增加之后,报告的已知漏洞有所增加。