## 面向亿行C/C++代码的 静态分析系统设计及实践 肖枭 ## 500+高端科技领导者与你一起探讨 技术、管理与商业那些事儿 2019年6月14–15日 上海圣诺亚皇冠假日酒店   2016年香港科技大学取得博士学位 过去10年一直以极高的热情从事静态分析技术的学术用研究 合作创办源伞科技，致力于推动静态分析技术在企业中的应用 ## 目录 代码质量管理是个大问题 静态分析+代码评审的实践 ## 生产质量是责任 ☐ 学习和强调，红线和惩罚，100%的测试 覆盖率，和事后复盘并不够 ☐ 有经验的程序员也会犯错 [Image](/uploads/documents/d/f/4/2/df4204d40f8d9990146651d100a36efb/p6_1.jpg) ## 自动化工具+流程才是未来 ☐ 静态分析工具：半智能的代码分析机器人 ☐ 静态分析辅助代码评审 ## Bug! Thx! Bug! ## 代码质量改进工具、流程落地难 □ 投入大 ☐ KPI不痛不痒 使用主体和责任主体不一致 ☐ 一步登天想要终极AI

## 基于静态分析的Rust内存安全缺陷检测研究 报告人：徐辉 复旦大学 报告日期：2022.11.25 ## 大纲 一、问题背景 二、Rust指针缺陷检测方法 三、实验结论 四、论文发表心得 ## 大纲 一、问题背景 二、Rust指针缺陷检测方法 三、实验结论 四、论文发表心得 ## Rust语言 ## 系统级安全编程语言 手动释放内存或调用析构函数 函数返回时发生的自动析构或内存释放 ☐ Rust设计的目标之一是编译时检查指针别名（共享可变引用） 但一般意义上的指针分析是NP-hard问题 智能指针可行，但作为运行时方案，效率低 ■ Rust在语法设计中引入所有权机制，简化指针分析问题 ## Rust所有权模型 => XOR Mutability ☐ 一个对象有且只有一个所有者 ☐ 所有权可以转移给其它变量 访问v造成use-after-free 15 /*double free: v is released when the function returns*/ 16 } ## 从Rust MIR分析Auto Memory Reclaim问题 

2017年10月19–21日 咨询热线：010-64738142 ## 吴金龙 • 2005~2010：北大数学院 • 推荐系统 • 2010~2011：阿里云 • PC/手机输入法 • 2011~2017：世纪佳缘 • 用户推荐、网警等数据系统 • 技术部负责人 • 一个AI负责人 • 2017~现在：爱因互动 • 技术合伙人、算法负责人 • ChatbotsChina发起人 R-Bot：检索问答系统 KB/KG 问题 问题分析 检索 排序 词/同义词  答案[列表] 实体识别 问题分类 同类词 TF-IDF LtR 指代消解 词向量 CNN/RNN 关系抽取 情感分析 ## I R-Bot：深度学习 对话状态应该包含持续对话所需要的各种信息 - DST问题：依据最新的系统和用户动作，更新对话状态  ## Q: 如何表示对话状态 ## 策略优化 Dialogue Policy Optimization (DPO) · 系统如何做出反馈动作 • 作为序列决策过程进行优化：增强学习

## 静态类型的Python PYTHON 30th Lyzh（刘知杭） ## 目录 CONTENTS ➤ 有关类型的概念 使用mypy对Python源代码进行静态分析 代数数据类型 拓展知识 ## 关于类型的一些基本概念 有类型不等于有类型系统 PYTHON 30th 动态语言类型化的必要性 ## 不久前的一个案例 ☀️ ☀️ ☁️ rl = filter(lambda x: CPython有类型，但CPython没有类型系统。这就是CsPython中诸多问题的由来。 ## 类型系统是什么？ 类型系统（type system）是一种编译期（Compile-time）的类型推导检查规则。 类型系统(type system)的基本目标是防止程序在运行时发生类型错误。当且仅当语言运行时不存在任何形式的类型错误，那么它就是sound的。soundness是类型系统研究的重要目标。 在计算机科学中，形式化方法（Formal 学科一样，通过用数学进行分析，来提高设计的可靠性（reliability）和健壮性（robustness）。 类型系统就是一种轻量级的形式化方法，它通常被植入编译器或程序分析器中进行自动校验。从而让那些不熟悉底层理论的程序员也可以使用它们。 这类轻量级技术中还包括模型检测（Model checking），运行时验证（Runtime verification）和类型系统（Type system

## TypeScript 类型系统 分享人：陈文岗 学校：中国科学院大学 2021年1月21日 ## 关于TypeScript TypeScript是微软推出的JavaScript静态类型版本，它是JavaScript的超集，可以编译为纯粹的JavaScript TypeScript How Does TypeScript Work? TypeScript file.ts JavaScript // unknown类型(Top Type) let foo: unknown; // never类型(Bottom Type) let bar: never; ## TypeScript 结构类型系统 #include #include using namespace std; struct Person1 { string name; of local variable 'p1' to 'Person2' ↔ More actions... Person2 p2 = p1; } ## 标明类型系统 即使两个类的结构完全一致，也不能互相赋值 interface Person1 { name: string; age: number; } interface Person2 {

API可靠性分析与验证 姜剑峰 ## 主题内容 • Rust第三方库API可靠性现状 • 现用方法的局限性 - 基于程序合成+模糊测试的可靠性分析方法 ## 自我简介 • 本（2019）硕（2022）毕业于复旦大学 - 目前在蚂蚁集团安全计算部门开发应用于机密计算的Rust系统软件 - 研究生期间主要从事Rust测试与验证工具的研究，本人所在的是国内最早开展Rust程序分析相关研究的实 never fail and dynamic checks that could potentially fail.” ___ Alastair Reid $ ^{2} $ ## Rust静态检查与动态检查 静态检查： • 基于所有权和生命周期的内存管理模型：内存安全 - 通过trait来确保代码符合某些规范：Send, Sync, Unpin等动态检查： • 数组越界 • 整数溢出 • 在任何合法使用API的情况下 • 所有静态检查提供的保证都应该被满足（不应该被unsafe所破坏） - 所有动态检查都不应该被违背（可以被安全的移除），除非panic是一种允许的行为 ## 现有的可靠性分析方法及其局限性 模糊测试(afl.rs, libfuzzer): 分支覆盖率；用例程序的构造 符号执行(klee, angr)：路径爆炸；求解困难 静态分析(MirChecker, Rudra

## DataEase 嵌入式分析 2024年3月 ## 人人可用的 开源数据可视化分析工具 DataEase 可以帮助用户快速分析业务数据并洞察其趋势，从而实现业务的改进与优化。DataEase 支持丰富的数据源连接，能够通过拖拉拽的方式快速制作图表，并且可以方便地与他人进行分享。 ## FIT2CLOUD 飞致云 ## DataEase v2 的不同版本对比 |版本类型|社区版|嵌入式版|企业版| |版本类型|社区版|嵌入式版|企业版| |---|---|---|---| |目标群体|任何用户|ISV / 系统集成商|最终客户| |产品功能|社区版功能|社区版功能 + X-Pack 部分功能（含嵌入式分析能力）注：单数据集限制 10 万行数据。|社区版功能 + X-Pack 所有功能（含嵌入式分析能力）注：数据集无行数限制。| |销售方式|社区分发免费使用|线上销售 / 线下推广标准化合同模板|线下推广线下商务流程| ×8）|原厂企业级技术支持服务（基础级，5×8；增强级，7×24）| 嵌入式分析可以给 ISV 带来哪些价值？ DataEase 嵌入式分析的方案 DataEase 嵌入式分析的优势 在线体验 & 嵌入流程介绍 ## 什么是嵌入式分析？ 嵌入式分析是可以嵌入在商业应用程序中，为应用软件提供或者增强分析功能的专业 BI 软件。 ## " Embedding analytics

CurveFs 用户权限系统调研（已实现） ## 一、 Curvefs测试 • 1. 启动curvefs • 问题1：root用户无法访问挂载目录 • 测试 allow root - 测试allow_other • 参考文献 - 问题2：本地文件系统挂载默认是共享的？ - 问题3：文件系统访问控制是在哪一层实现的？ ## 二、 文件系统权限管理 • 文件类型 • 文件权限 文件权限 • 特殊权限 (SUID, SGID, STICKY) - 文件默认权限mask - 用户&用户组 - 文件系统用户权限管理 - 对mode的管理 - 对ACL（Access Control Lists）的管理 - ACL Access Entry保存在哪? • ACL的表示 • 内存中的ACL 是如何与具体的 Inode 相关联 • • 如何存储和获取ACL信息 • Inode权限校验 • chmod、chown、setfacl、getfacl接口文件系统自己如何实现 • 结论： • 参考文献： ## 一、 Curvefs测试 代码：https://github.com/cw123/curve/tree/fs_s3_joint_debugging 环境：test2 ### 1. 启动curvefs

## DataEase ## 人人可用的开源数据可视化分析工具 2023 年 6 月 数据可视化对企业的价值 DataEase 开源项目介绍 DataEase 模板市场 DataEase 企业版介绍 ## 数据可视化对企业的价值 原始数据  ## FIT2CLOUD 飞致云 数据→信息→价值 可视化 数据孤岛 管理混乱 缺失分析 可以为企业运营带来直接收益 ## 数据价值  全业务场景 用户行为管理 数据驾驶舱 ## 数据可视化对不同人员的价值 数据可视化对不同人员的价值 ## FIT2CLOUD 飞致云 ## 前端业务人员 能够快速、高效地提供体验良好的数据展现手段，通过分析数据资产的质量，助力企业做出更加准确的业务策略。 ## 数据管理人员 提供多种数据使用模式，提供更为丰富、安全的数据管理手段，有助于企业内部进行更为广泛的数据整合与分析，并由此创造数据价值。 ## 企业管理者 能够合理评估、规范和洞察企业信息，洞悉企业发展趋势，在有效管理 IT

## 分布式任务系统 cronsun 苏创绩 ## 目录 01 任务系统 02 分布式任务系统 03 cron sun 04 心得体会   ## 01 Part One 任务系统 ## 任务 1. 什么时间 2. 什么地点 3. 做什么事 ## 一 个简单的任务  星期数，范围：0-7（0和7都是星期天） e42541490db6c0e/p6_1.jpg) crontab cmd1 cmd2 cmd3 ## 早期的 cron V7, 1979 1. 在Version 7 Unix里是一个系统服务 2. 只用 root 运行任务 3. 算法简单直接 ## 早期的 cron 运行逻辑 1. 读 /usr/lib/crontab 文件 2. 如果有命令要在当前时间执行，就用 root