## 基于静态分析的Rust内存安全缺陷检测研究 报告人：徐辉 复旦大学 报告日期：2022.11.25 ## 大纲 一、问题背景 二、Rust指针缺陷检测方法 三、实验结论 四、论文发表心得 ## 大纲 一、问题背景 二、Rust指针缺陷检测方法 三、实验结论 四、论文发表心得 ## Rust语言 ## 系统级安全编程语言 手动释放内存或调用析构函数 函数返回时发生的自动析构或内存释放 ☐ Rust设计的目标之一是编译时检查指针别名（共享可变引用） 但一般意义上的指针分析是NP-hard问题 智能指针可行，但作为运行时方案，效率低 ■ Rust在语法设计中引入所有权机制，简化指针分析问题 ## Rust所有权模型 => XOR Mutability ☐ 一个对象有且只有一个所有者 ☐ 所有权可以转移给其它变量 访问v造成use-after-free 15 /*double free: v is released when the function returns*/ 16 } ## 从Rust MIR分析Auto Memory Reclaim问题 

## 面向亿行C/C++代码的 静态分析系统设计及实践 肖枭 ## 500+高端科技领导者与你一起探讨 技术、管理与商业那些事儿 2019年6月14–15日 上海圣诺亚皇冠假日酒店   2016年香港科技大学取得博士学位 过去10年一直以极高的热情从事静态分析技术的学术用研究 合作创办源伞科技，致力于推动静态分析技术在企业中的应用 ## 目录 代码质量管理是个大问题 静态分析+代码评审的实践 ## 生产质量是责任 ☐ 学习和强调，红线和惩罚，100%的测试 覆盖率，和事后复盘并不够 ☐ 有经验的程序员也会犯错 [Image](/uploads/documents/d/f/4/2/df4204d40f8d9990146651d100a36efb/p6_1.jpg) ## 自动化工具+流程才是未来 ☐ 静态分析工具：半智能的代码分析机器人 ☐ 静态分析辅助代码评审 ## Bug! Thx! Bug! ## 代码质量改进工具、流程落地难 □ 投入大 ☐ KPI不痛不痒 使用主体和责任主体不一致 ☐ 一步登天想要终极AI

## Service Mesh Meetup #5 广州站 # SOFAMOSN 持续演进路径及实践案例 陈逸凡 wugou.cyf@antfin.com 2019.1.6 ## Agenda ➢ 背景 & 概览 ➢ 持续演进路径 & 技术案例 ➢ 实践案例 ➢ 规划 & 展望 ➢ QA ## 背景 & 概览 ## 数据平面概览 SOFAMOSN数据流  ## 持续演进路径 & 技术案例 ## 能力 TCP代理/7层通用代理 简单匹配路由 集群管理 & 基本负载均衡(RR、RANDOM) SofaRpc及HTTP/1.1、HTTP/2.0支持

## 静态类型的Python PYTHON 30th Lyzh（刘知杭） ## 目录 CONTENTS ➤ 有关类型的概念 使用mypy对Python源代码进行静态分析 代数数据类型 拓展知识 ## 关于类型的一些基本概念 有类型不等于有类型系统 PYTHON 30th 动态语言类型化的必要性 ## 不久前的一个案例 ☀️ ☀️ ☁️ rl = filter(lambda x: 要目标。 在计算机科学中，形式化方法（Formal method）是一种数学方法。旨在能像其它工程学科一样，通过用数学进行分析，来提高设计的可靠性（reliability）和健壮性（robustness）。 类型系统就是一种轻量级的形式化方法，它通常被植入编译器或程序分析器中进行自动校验。从而让那些不熟悉底层理论的程序员也可以使用它们。 这类轻量级技术中还包括模型检测（Model checking），运行时验证（Runtime 甚至Haskell程序员们能够在HGoogle中通过函数的类型签名来寻找函数。 程序效率：动态类型不利于编译优化 ## 渐进式类型系统 相对于静态语言的类型系统。 为动态语言添加类型系统需要考虑到过渡与历史包袱 一种叫做渐进式类型系统的东西完美的符合了这个应用场景 这种类型系统同时允许动态类型与静态类型的存在 声明类型系统、鸭子类型与结构类型系统 类型系统的分类——声明式类型系统与结构化类型系统 声明类型系统通过名字来检查类型

用 Go 打造 Grab 的路径规划和 ETA 引擎 胡泊 Grab bo.hu@grab.com 探探 Gopher China 2019 大纲 Who’s Grab 团队角色 路径规划和ETA引擎的构建和演进 Go in Grab ’ alt=‘OCR图片’/> Who’s Grab ’ alt=‘OCR图片’/> 东南亚的超级APP Grab 12:41 PM 100% 我们为消费者提供不可缺少的日常服务 我们提供安全、方便和经济实惠的出行服务 ’ alt=‘OCR图片’/> 大纲 Who’s Grab 团队角色 路径规划和ETA引擎的构建和演进 Go in Grab ’ alt=‘OCR图片’/> 团队角色 路径规划给定起终点在连通图中寻找合理路线 ETA(Estimated Time of Arrival)给定路线预估行驶时间 ’ alt=‘OCR图片’/> ’ alt=‘OCR图片’/> 大纲 Who’s Grab 团队角色 路径规划和ETA引擎的构建和演进 Go in Grab ’ alt=‘OCR图片’/> 路径规划和ETA引擎的构建和演进 ’ alt=‘OCR图片’/> 技术选型-概率vs路网 ’ alt=‘OCR图片’/> 路径规划和ETA引擎的构建和演进 地图 司机定位 路况 图搜索 ETA模型调优

API可靠性分析与验证 姜剑峰 ## 主题内容 • Rust第三方库API可靠性现状 • 现用方法的局限性 - 基于程序合成+模糊测试的可靠性分析方法 ## 自我简介 • 本（2019）硕（2022）毕业于复旦大学 - 目前在蚂蚁集团安全计算部门开发应用于机密计算的Rust系统软件 - 研究生期间主要从事Rust测试与验证工具的研究，本人所在的是国内最早开展Rust程序分析相关研究的实 never fail and dynamic checks that could potentially fail.” ___ Alastair Reid $ ^{2} $ ## Rust静态检查与动态检查 静态检查： • 基于所有权和生命周期的内存管理模型：内存安全 - 通过trait来确保代码符合某些规范：Send, Sync, Unpin等动态检查： • 数组越界 • 整数溢出 • 在任何合法使用API的情况下 • 所有静态检查提供的保证都应该被满足（不应该被unsafe所破坏） - 所有动态检查都不应该被违背（可以被安全的移除），除非panic是一种允许的行为 ## 现有的可靠性分析方法及其局限性 模糊测试(afl.rs, libfuzzer): 分支覆盖率；用例程序的构造 符号执行(klee, angr)：路径爆炸；求解困难 静态分析(MirChecker, Rudra

## DataEase 嵌入式分析 2024年3月 ## 人人可用的 开源数据可视化分析工具 DataEase 可以帮助用户快速分析业务数据并洞察其趋势，从而实现业务的改进与优化。DataEase 支持丰富的数据源连接，能够通过拖拉拽的方式快速制作图表，并且可以方便地与他人进行分享。 ## FIT2CLOUD 飞致云 ## DataEase v2 的不同版本对比 |版本类型|社区版|嵌入式版|企业版| |---|---|---|---| |目标群体|任何用户|ISV / 系统集成商|最终客户| |产品功能|社区版功能|社区版功能 + X-Pack 部分功能（含嵌入式分析能力）注：单数据集限制 10 万行数据。|社区版功能 + X-Pack 所有功能（含嵌入式分析能力）注：数据集无行数限制。| |销售方式|社区分发免费使用|线上销售 / 线下推广标准化合同模板|线下推广线下商务流程| |授权方式|免费永久使用|按 ×8）|原厂企业级技术支持服务（基础级，5×8；增强级，7×24）| 嵌入式分析可以给 ISV 带来哪些价值？ DataEase 嵌入式分析的方案 DataEase 嵌入式分析的优势 在线体验 & 嵌入流程介绍 ## 什么是嵌入式分析？ 嵌入式分析是可以嵌入在商业应用程序中，为应用软件提供或者增强分析功能的专业 BI 软件。 ## " Embedding analytics

## DataEase ## 人人可用的开源数据可视化分析工具 2023 年 6 月 数据可视化对企业的价值 DataEase 开源项目介绍 DataEase 模板市场 DataEase 企业版介绍 ## 数据可视化对企业的价值 原始数据  ## FIT2CLOUD 飞致云 数据→信息→价值 可视化 数据孤岛 管理混乱 缺失分析 可以为企业运营带来直接收益 ## 数据价值  全业务场景 用户行为管理 数据驾驶舱 ## 数据可视化对不同人员的价值 数据可视化对不同人员的价值 ## FIT2CLOUD 飞致云 ## 前端业务人员 能够快速、高效地提供体验良好的数据展现手段，通过分析数据资产的质量，助力企业做出更加准确的业务策略。 ## 数据管理人员 提供多种数据使用模式，提供更为丰富、安全的数据管理手段，有助于企业内部进行更为广泛的数据整合与分析，并由此创造数据价值。 ## 企业管理者 能够合理评估、规范和洞察企业信息，洞悉企业发展趋势，在有效管理 IT