基于静态分析的Rust内存安全缺陷检测研究 报告人：徐辉 报告日期：2022.11.25 复旦大学 大纲 一、问题背景 二、Rust指针缺陷检测方法 三、实验结论 四、论文发表心得 大纲 一、问题背景 二、Rust指针缺陷检测方法 三、实验结论 四、论文发表心得 Rust语言 ❑ 系统级安全编程语言 ▪ 内存安全 ▪ 并发安全 ▪ 效率 2006年 2011年 Mozilla裁员Servo团队 AWS, Huawei, Google, Microsoft, Mozilla… Rust如何保障内存安全？ ❑ 内存安全问题产生的主要原因之一是指针别名导致悬空指针 ▪ 手动释放内存或调用析构函数 ▪ 函数返回时发生的自动析构或内存释放 ❑ Rust设计的目标之一是编译时检查指针别名（共享可变引用） ▪ 但一般意义上的指针分析是NP-hard问题 ▪ 智能指针可行，但作为运行时方案，效率低 Unsafe API call Unsafe API access call Rust实际表现如何？ ❑ 调研了2020年12月31日前报告的185个内存安全漏洞[TOSEM'21] ▪ Rust在内存安全防护方面效果不错 ▪ 所有的漏洞（除了1个编译器漏洞）都需要unsafe code ▪ 大部分CVEs都是 API soundness的问题（未在可执行程序中发现）

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 15.6. 引用循环会导致内存泄漏 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 程序设计语言的本质实际在于 赋能（empowerment）：无论你现在编写的是何种代码， Rust 能让你在更为广泛的编程领域走得更远，写出自信。（这一点并不显而易见） 举例来说，那些“系统层面”的工作涉及内存管理、数据表示和并发等底层细节。从传统角度来 看，这是一个神秘的编程领域，只为浸润多年的极少数人所触及，也只有他们能避开那些臭名 昭著的陷阱。即使谨慎的实践者，亦唯恐代码出现漏洞、崩溃或损坏。 Rust “深入” 底层控制的程序员可以使用 Rust，无需时刻担心出现崩溃或安全漏洞，也无需因为 工具链不靠谱而被迫去了解其中的细节。更妙的是，语言设计本身会自然而然地引导你编写出 可靠的代码，并且运行速度和内存使用上都十分高效。 已经在从事编写底层代码的程序员可以使用 Rust 来提升信心。例如，在 Rust 中引入并行是相 对低风险的操作，因为编译器会替你找到经典的错误。同时你可以自信地采取更加激进的优

................................................................................. 393 15.6. 引用循环会导致内存泄漏 ........................................................................................... 404 程序设计语言的本质实际在于 赋能（empowerment）：无论你现在编写的是何种代码， Rust 能让你在更为广泛的编程领域走得更远，写出自信。（这一点并不显而易见） 举例来说，那些“系统层面”的工作涉及内存管理、数据表示和并发等底层细节。从传统角度来 看，这是一个神秘的编程领域，只为浸润多年的极少数人所触及，也只有他们能避开那些臭名 昭著的陷阱。即使谨慎的实践者，亦唯恐代码出现漏洞、崩溃或损坏。 Rust “深入” 底层控制的程序员可以使用 Rust，无需时刻担心出现崩溃或安全漏洞，也无需因为 工具链不靠谱而被迫去了解其中的细节。更妙的是，语言设计本身会自然而然地引导你编写出 可靠的代码，并且运行速度和内存使用上都十分高效。 已经在从事编写底层代码的程序员可以使用 Rust 来提升信心。例如，在 Rust 中引入并行是相 对低风险的操作，因为编译器会替你找到经典的错误。同时你可以自信地采取更加激进的优

. 31 6.3.1 Labels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 6.4 代码块和作用域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 1 6.4.1 作用域和遮蔽（Shadowing） . . . . . 95 V 第三天：上午 97 18 欢迎参加第 3 天的课程 98 19 内存管理 99 19.1 回顾：程序的内存分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 19.2 内存管理方法 . . . . . . . . . . . . . . . . . . . . . . . . 内嵌汇编 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 53.3 MMIO 的易失性内存访问 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267 53.4 编写 UART 驱动程序 . . . . . . .

......... 100 7.3.3 手动实现 send 和 sync 需要加上 unsafe ................................... 101 7.4 共享内存 .................................................................................. 101 7.4.1 static 语言设计的看法主要是：重大创新，却又博采众长。 Rust 为了解决内存安全问题重新设计了类型系统，提出了所有权的概念，同时 为了能够解决当前大多数语言无法检测到的运行时错误，rust 创造性地设计了 无畏并发。Rust 借鉴了很多优秀语言的设计理念，以及快速迭代的社区，这些 都是 Rust 受到赞赏的重要因素。 Rust 是一门系统级编程语言，被设计为保证内存和线程安全，并防止段错误。 作为系统级编程语言，它的基本理念是 这两门编程语言不同的是，Rust 是线程安全的！ Rust 编程语言的目标是，创建一个高度安全和并发的软件系统。它强调安全性、 并发和内存控制。尽管 Rust 借用了 C 和 C++ 的语法，它不允许空指针和悬 挂指针，二者是 C 和 C++ 中系统崩溃、内存泄露和不安全代码的根源。 Rust 中有诸如 if else 和循环语句 for 和 while 的通用控制结构。和 C 和 C++

Cargo v0.0 ... v0.2 ... v0.10 系统编程+零运行时+内存安全 系统编程+零运行时+内存安全 （应用领域） （运行效率） （系统安全） 系统编程 Systems Programming 系统编程+零运行时+内存安全 System programming • The programmer will make assumptions org/wiki/System_programming 系统编程 • 对硬件的控制（嵌入式, OS） • 对系统底层的控制（OS, kernel, driver） • 对CPU和内存的高效利用（Server, OS） • 对运算性能的高要求 • 对系统安全和内存安全的强需求 重点项目&热门领域 • 大数据 • 云计算 • 物联网 • 航空航天 • 超级计算机 • 科学运算/机器学习 • 图形图像处理 CPU/GPU • 内存/硬盘 • 电力 • 网络流量 • 其他设备和人员维护费用 都是白花花的银子，“硬件很便宜”的说法不靠 谱 你能买最新硬件，对手也能，无助于提升竞争力 物联网 • 需要大批量部署，必须控制硬件成本 • 受限于成本控制，硬件性能不强 • 受限于电池供电，功耗不能高 这就要求系统和应用软件要高效利用硬件 程序运行在VM上，或后台跑GC 白白浪费了宝贵的CPU和内存资源 Rust在系统编程领域

4.3 列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 4.4 内存与缓存 * . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 4.5 小结 . . . 所示，对于顶部标有文件名称的代码块，我们可以在仓库的 codes 文件夹内 找到对应的源代码文件。源代码文件可一键运行，将帮助你节省不必要的调试时间，让你能够专注于学习内 容。 图 0‑5 代码块与对应的源代码文件 除了本地运行代码，网页版还支持 Python 代码的可视化运行（基于 pythontutor 实现）。如图 0‑6 所示，你 可以点击代码块下方的“可视化运行”来展开视图，观 到了可行的找零方 案。从数据结构与算法的角度看，这种方法本质上是“贪心”算法。 小到烹饪一道菜，大到星际航行，几乎所有问题的解决都离不开算法。计算机的出现使得我们能够通过编程 将数据结构存储在内存中，同时编写代码调用 CPU 和 GPU 执行算法。这样一来，我们就能把生活中的问题 转移到计算机上，以更高效的方式解决各种复杂问题。 Tip 如果你对数据结构、算法、数组和二分查找等概念仍感

4.3 列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 4.4 内存与缓存 * . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 4.5 小结 . . . 所示，对于顶部标有文件名称的代码块，我们可以在仓库的 codes 文件夹内 找到对应的源代码文件。源代码文件可一键运行，将帮助你节省不必要的调试时间，让你能够专注于学习内 容。 图 0‑5 代码块与对应的源代码文件 除了本地运行代码，网页版还支持 Python 代码的可视化运行（基于 pythontutor 实现）。如图 0‑6 所示，你 可以点击代码块下方的“可视化运行”来展开视图，观 到了可行的找零方 案。从数据结构与算法的角度看，这种方法本质上是“贪心”算法。 小到烹饪一道菜，大到星际航行，几乎所有问题的解决都离不开算法。计算机的出现使得我们能够通过编程 将数据结构存储在内存中，同时编写代码调用 CPU 和 GPU 执行算法。这样一来，我们就能把生活中的问题 转移到计算机上，以更高效的方式解决各种复杂问题。 Tip 如果你对数据结构、算法、数组和二分查找等概念仍感

4.3 列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 4.4 内存与缓存 * . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 4.5 小结 . . . 所示，对于顶部标有文件名称的代码块，我们可以在仓库的 codes 文件夹内 找到对应的源代码文件。源代码文件可一键运行，将帮助你节省不必要的调试时间，让你能够专注于学习内 容。 图 0‑5 代码块与对应的源代码文件 除了本地运行代码，网页版还支持 Python 代码的可视化运行（基于 pythontutor 实现）。如图 0‑6 所示，你 可以点击代码块下方的“可视化运行”来展开视图，观 到了可行的找零方 案。从数据结构与算法的角度看，这种方法本质上是“贪心”算法。 小到烹饪一道菜，大到星际航行，几乎所有问题的解决都离不开算法。计算机的出现使得我们能够通过编程 将数据结构存储在内存中，同时编写代码调用 CPU 和 GPU 执行算法。这样一来，我们就能把生活中的问题 转移到计算机上，以更高效的方式解决各种复杂问题。 � 如果你对数据结构、算法、数组和二分查找等概念仍感到一知半解，请继续往下阅读，本书将

把编译时约束转移到运⾏时（例 如Mutex，RefCell），也允许程序 员显式地指出不安全（unsafe块）， 并使⽤安全封装和管理不安全 • unsafe块是一个精妙的设计，在你 想偷懒破坏安全性时给你带来⼩ 小的骚扰 13 Rust的安全特征 • 类型安全: 远离void* 保安全. 远离隐式cast • 内存安全: 编译器自动推断变量的生命周期, 自动插 入free,防止程序员忘记写free 对于全局变量, 它自带一个锁. 访问全局变 量的过程必须取得锁 -> C里面全局变量和锁时分离 的, 时常会忘记加锁,当锁离开作用域时自动释放, 防 止造成死锁 • Rust 提供了unsafe 这种块能够做不安全但必须的事 情如指针算术. 但不安全的代码越少越好 14 RUST的运行时约束： 所有权机制和资源管理 • RefCell – borrow() – borrow_mut()