靜態分析如何提高多核平臺的安全性

多核處理器在嵌入式設備中無處不在，但是對于開發安全關鍵型設備來說，仍然是一個重大挑戰。多核處理器提供真正的并發性，意味著需要真正多線程的編程，這仍舊很難處理。在任務關鍵型軟件中，靜態分析是關鍵，因為它可以捕捉到傳統測試(例如單元、功能和系統測試)遺漏的缺陷，及開發者花費數個小時甚至許多天才能解決的缺陷。在安全與保安關鍵型系統中，多核平臺的優勢必須大于風險。

安全關鍵型系統中的多核

多核處理器及其相應的硬件平臺為安全關鍵型系統提供許多重要的功能：

1.分區：一個單一硬件單元可以通過虛擬分區安裝多個操作系統和應用軟件。多核CPU為強大的分區提供性能和處理器支持。

2.分割：類似于分區，但是可以將系統關鍵部分與非關鍵部分分割開來。例如，嵌入式平臺可以安裝一個實時操作系統，來控制一個帶用戶界面的強大且多功能的操作系統。

3.整合：多核平臺在單一平臺上提供分割功能，大幅減少產品所需的材料成本。提高單位電壓的處理器性能會降低運行成本。

圖1. 在多核平臺上采用虛擬分區的系統案例。按照關鍵性和功能來分割是具有可操作性的。

但是，多核處理器為多線程軟件引進了真實且基于硬件層級的并發功能，而在開發編程中非常難偵測并解決潛在缺陷。盡管在極端情況下，可以向單一線程操作系統中強制施加安全關鍵性代碼，但是效率卻非常低。選擇適當的并發程序設計和正確的工具可以使得多核處理器上編程的風險較低。

傳統單元測試與多核并發編程比較

一般來說，單元測試假設為單線程操作系統——為預計輸出提供輸入和輸出檢查。在多線程編程中，“單元”之間的關系復雜，正確的測試方法是需要優先考慮的因素。多核平臺加入了真實的硬件并行行，這就意味著線程是真實并行運行的。此外，事件在系統中的計劃和調度變得不確定，因為指令交錯在可用的處理器內核(或者超線程CPU線程)中。下圖顯示了從兩個指令和兩個線程到三個指令與兩個線程之間交錯的復雜性。根據安全關鍵程度，這可能會被禁止。如果不禁止，那么就意味著需要特別小心，以確保正確操作。

這種復雜性顯著增加了測試的工作量、缺陷的風險度和脆弱性。幸運地是，靜態分析工具可以幫助檢測數據訪問沖突情況和同步缺陷，這些在單元測試和次級單元測試中都很難被探測出來。

靜態分析，偵測并發問題

靜態分析工具創建分析軟件的內部表征(IR)，以推理出預計的行為。作為這種推理的一部分，它可以偵測可能會超越傳統測試技術的沖突情況和并行性問題。GrammaTech CodeSonar可以偵測出多線程并行應用程序中的以下復雜缺陷：

----數據沖突：當兩個線程都訪問一個共享數據，且沒有清晰且正確的同步時，會出現數據沖突。這種錯誤會導致系統處于不穩定狀態，可能會偶爾隨機出現。

----死鎖：當單線程通過同步機制訪問共享資源，但沒有為其它線程訪問釋放時，就會出現死鎖。這通常是由于同時采用了多種同步機制(鎖定一個資源后再鎖定第二個，但仍然處于等待狀態)。

----進程饑餓現象：當線程被阻塞在一個同步對象上很長一段時間時，就會發生饑餓現象(starvation)。在實時軟件中，這會影響系統運行，或觸發監視警告。

----不當同步：濫用線程同步源語，例如缺失鎖定或解鎖對導致不可預測的系統行為。CodeSonar能探測到軟件中的多種鎖定和解鎖亂用。

安全與保安的影響

并發錯誤和不當線程行為對于開發者進行偵測、診斷和修復來說是一個令人頭疼的問題。由于這些錯誤會對系統行為產生重大影響，因此，它們會產生巨大的安全與保安風險。在極端情況下，真正的并發編程會由于安全問題(會采用上述分區來處理)受到禁止。然而，利用真正并發會帶來性能優勢，這兩者是并行的。采用時，需要加倍小心。

靜態分析工具為測試安全關鍵性系統提供獨一無二的好處，因為他們不依靠測試用例(反過來，這可能有缺陷)，并且解決傳統系統測試無法解決的問題。在部署的任務關鍵型軟件中，在部署前可能沒有發現的嚴重并行缺陷，使用CodeSonar會發現并解決。

由于潛在的影響，利用并發漏洞是一個慎重的考慮。觸發并發錯誤會導致系統不穩定和拒絕服務，甚至更糟。如同所有其它的潛在缺陷一樣，如果存在威脅向量，需要按照正確的優先級進行處理和響應，那么并發錯誤可能也是安全缺陷。

總結：

傳統測試往往忽視并發問題，只到系統測試階段才會發現，或者完全遺漏——此時已經太遲、太危險，也太過于昂貴了。在安全性系統中，這就意味著大量的返工和重新測試，因為驗證環境意味著高額成本。GrammaTech CodeSonar在早期，即開發代碼時，通過系統行為分析，無須大量的測試，即可檢測這些問題，降低風險，節約成本。