基于静态分析的Rust内存安全缺陷检测研究 报告人：徐辉 报告日期：2022.11.25 复旦大学 大纲 一、问题背景 二、Rust指针缺陷检测方法 三、实验结论 四、论文发表心得 大纲 一、问题背景 二、Rust指针缺陷检测方法 三、实验结论 四、论文发表心得 Rust语言 ❑ 系统级安全编程语言 ▪ 内存安全 ▪ 并发安全 ▪ 效率 2006年 2011年 Mozilla裁员Servo团队 AWS, Huawei, Google, Microsoft, Mozilla… Rust如何保障内存安全？ ❑ 内存安全问题产生的主要原因之一是指针别名导致悬空指针 ▪ 手动释放内存或调用析构函数 ▪ 函数返回时发生的自动析构或内存释放 ❑ Rust设计的目标之一是编译时检查指针别名（共享可变引用） ▪ 但一般意义上的指针分析是NP-hard问题 ▪ 智能指针可行，但作为运行时方案，效率低 0x012345usize; let r = address as *const i32; } unsafe { risky(); } 调用unsafe函数 定义unsafe函数 Rust的安全哲学 ❑ Safe API无论如何被使用都不应带来未定义行为 ❑ 程序员应避免直接使用unsafe code ❑ Interior unsafe：将unsafe code封装为safe API

第三届中国 Rust 开发者大会 安全高效的二进制序列化 Daniel Wang @ NEAR Borsh • 运行、编码效率 • 确定性 • 跨平台兼容性 二进制序列化的问题 Binary Object Representation Serializer for Hashing • 字节级别确定性 • 执行速度快 Borsh • 轻量级 • 每一个对象与其二进制表示之间都存在一个双射映射

0版本 2013年末我开始关注Rust，但尚未深入实践 在重大场合正式演讲这是人生第一次 2016年春节至今认真准备讲稿近三个月 如有错误或纰漏，敬请谅解！ 感谢臧秀涛主编盛情邀请！ Rust 安全、高效、并发的系统编程语言 2006年 2009年 2012年 2015年 2016年 Rust Cargo v0.0 ... v0.2 ... v0.10 系统编程+零运行时+内存安全 系统编程+零运行时+内存安全 （应用领域） （运行效率） （系统安全） 系统编程 Systems Programming 系统编程+零运行时+内存安全 System programming • The programmer will make assumptions org/wiki/System_programming 系统编程 • 对硬件的控制（嵌入式, OS） • 对系统底层的控制（OS, kernel, driver） • 对CPU和内存的高效利用（Server, OS） • 对运算性能的高要求 • 对系统安全和内存安全的强需求 重点项目&热门领域 • 大数据 • 云计算 • 物联网 • 航空航天 • 超级计算机 • 科学运算/机器学习 • 图形图像处理 •

......... 100 7.3.3 手动实现 send 和 sync 需要加上 unsafe ................................... 101 7.4 共享内存 .................................................................................. 101 7.4.1 static 语言设计的看法主要是：重大创新，却又博采众长。 Rust 为了解决内存安全问题重新设计了类型系统，提出了所有权的概念，同时 为了能够解决当前大多数语言无法检测到的运行时错误，rust 创造性地设计了 无畏并发。Rust 借鉴了很多优秀语言的设计理念，以及快速迭代的社区，这些 都是 Rust 受到赞赏的重要因素。 Rust 是一门系统级编程语言，被设计为保证内存和线程安全，并防止段错误。 作为系统级编程语言，它的基本理念是 可以被归为通用的、多范式、编译型的编程语言，类似 C 或者 C++。与 这两门编程语言不同的是，Rust 是线程安全的！ Rust 编程语言的目标是，创建一个高度安全和并发的软件系统。它强调安全性、 并发和内存控制。尽管 Rust 借用了 C 和 C++ 的语法，它不允许空指针和悬 挂指针，二者是 C 和 C++ 中系统崩溃、内存泄露和不安全代码的根源。 Rust 中有诸如 if else 和循环语句 for 和 while

. . . . . 95 V 第三天：上午 97 18 欢迎参加第 3 天的课程 98 19 内存管理 99 19.1 回顾：程序的内存分配 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 19.2 内存管理方法 . . . . . . . . . . . . . . . . . . . . . . . . 29.6.1 解答 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 30 不安全 Rust 174 30.1 不安全 Rust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 30.2 解引用裸指针 177 30.6 实现 Unsafe Trait . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 30.7 安全 FFI 封装容器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 30.7.1 解答 . . . .

Table of Contents 目录 Use of Rust in Implementing Cryptographic Algorithms and Protocols #3 Rust 实现密码与安全协议的优势与现状 Introduction to Shangmi Algorithms and Protocols #2 国密算法与协议介绍 Huawei Ylong Rust Cryptographic Framework #4 华为 Ylong Rust 密码库 国密算法总览 Overview to Shangmi Cryptography Section #1 • 密码算法安全目标 • 密码算法分类 • 国密套件总览 密码算法安全目标 Security Goals Rust China Conf 2022 – 2023, Shanghai, China • 通常来说，通过加密方式，对于信息的传输，我们希望达成以下五个目标： TLS 简介 来源：国密算法加密芯片，支持国密全套件等安全算法，http://www.bjlcs- tech.com/article/95.html 国密套件总览 List of Shangmi Cryptography Rust China Conf 2022 – 2023, Shanghai, China 算法 算法标准 功能 类型 安全位数 (bit) 对应算法 是否公开 应用 Sm1

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339 15.6. 引用循环会导致内存泄漏 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 20.1. 不安全 Rust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 举例来说，那些“系统层面”的工作涉及内存管理、数据表示和并发等底层细节。从传统角度来 看，这是一个神秘的编程领域，只为浸润多年的极少数人所触及，也只有他们能避开那些臭名 昭著的陷阱。即使谨慎的实践者，亦唯恐代码出现漏洞、崩溃或损坏。 Rust 破除了这些障碍：它消除了旧的陷阱，并提供了伴你一路同行的友好、精良的工具。想 要 “深入” 底层控制的程序员可以使用 Rust，无需时刻担心出现崩溃或安全漏洞，也无需因为

................................................................................. 393 15.6. 引用循环会导致内存泄漏 ........................................................................................... 404 ...................................................................................... 484 19.1. 不安全的 Rust ............................................................................................ 举例来说，那些“系统层面”的工作涉及内存管理、数据表示和并发等底层细节。从传统角度来 看，这是一个神秘的编程领域，只为浸润多年的极少数人所触及，也只有他们能避开那些臭名 昭著的陷阱。即使谨慎的实践者，亦唯恐代码出现漏洞、崩溃或损坏。 Rust 破除了这些障碍：它消除了旧的陷阱，并提供了伴你一路同行的友好、精良的工具。想 要 “深入” 底层控制的程序员可以使用 Rust，无需时刻担心出现崩溃或安全漏洞，也无需因为

哲学 ● Zero-cost abstraction ● 内存安全 ○ Build-in RAII / Ownership ○ No NULL ptr ● 万物皆有所有权 ○ Ownership system ○ Mutable and immutable reference ● 线程安全 ● 不相信程序员 内存安全 ● 所有权 ● RAII / Lifetime fn do_vec(v: do_vec(v: Vec) {} fn main() { let a = vec![1,2,3]; do_vec(a); println!("{}", a) } 内存安全 error[E0382]: use of moved value: `a` --> src/main.rs:6:20 | 5 | do_vec(a); | | ^ value used here after move 内存安全 fn main() { let mut x = vec![1,2,3]; let y = &mut a; let z = &a; ... } 内存安全 error[E0502]: cannot borrow `a` as immutable because

4.3 列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 4.4 内存与缓存 * . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 4.5 小结 . . . 到了可行的找零方 案。从数据结构与算法的角度看，这种方法本质上是“贪心”算法。 小到烹饪一道菜，大到星际航行，几乎所有问题的解决都离不开算法。计算机的出现使得我们能够通过编程 将数据结构存储在内存中，同时编写代码调用 CPU 和 GPU 执行算法。这样一来，我们就能把生活中的问题 转移到计算机上，以更高效的方式解决各种复杂问题。 Tip 如果你对数据结构、算法、数组和二分查找等概念仍感 具有可行性，能够在有限步骤、时间和内存空间下完成。 ‧ 各步骤都有确定的含义，在相同的输入和运行条件下，输出始终相同。 1.2.2 数据结构定义 数据结构（data structure）是组织和存储数据的方式，涵盖数据内容、数据之间关系和数据操作方法，它具 有以下设计目标。 第 1 章 初识算法 www.hello‑algo.com 14 ‧ 空间占用尽量少，以节省计算机内存。 ‧ 数据操作尽可