Верификация программного обеспечения. Текущее состояние и проблемы

Сложность современного ПО

Статистика ошибок

Количество ошибок на 1000 строк кода (до тестирования) остается практически

Верификация и информационная безопасность программ

Наличие ошибки в программе часто означает наличие уязвимости
Технологии

Технологии верификации

Экспертиза
Тестирование (динамические испытания)
Аналитическая верификация
Статический анализ
Комбинированные подходы

Экспертиза

Поиск ошибок, оценка и анализ свойств ПО человеком (обычно группа 2-5 человек)
Техники
Списки

Тестирование

Оценка корректности системы по ее работе в выбранных ситуациях, с определенными данными
Техники:
Шаблоны

Пример : проект DMS (ИСП РАН)

Разработка тестов для ОС телефонного коммутатора Nortel

Показатели качества тестирования

Метрики тестового покрытия
Функциональности программы и требований
Структуры кода: строк, ветвлений, комбинаций

Аналитическая верификация

Формальное описание семантики программы и требований и доказательство выполнения требований
Техники:
Метод Флойда

Пример: верификация ядра ОС seL4

Ядро встроенной ОС seL4
8700 строк на C, 600

Статический анализ программ

f(char * p)
{ char s[6];
strcpy(s,p);
}
main1 ()
{ f(“hello”);
}
main2 ()
{ f(“privet”);
}

\0

o

l

l

e

h

t

\0

e

v

i

r

p

Стек после выполнения функции f, вызванной из

Альтернативы решения

Тестирование
Проверки времени выполнения
Статический анализ программы
Смешанный

Можно использовать специальные функции с дополнительными параметрами – ограничениями сверху на объем

От динамической защиты к статическому обнаружению

Даже в случае минимизации количества проверок инструментированный

Цели статического анализа – выявление дефектов в программах

Дефекты (ситуации в исходном коде) могут

Рассматриваемые виды дефектов

Переполнение буфера
Format string: недостаточный контроль параметров при использовании функций семейства

Преимущества статического анализа

Автоматический анализ многих путей исполнения одновременно
Обнаружение дефектов, проявляющихся только на

Первое поколение анализаторов

Flowfinder, ITS4, RATS, Pscan (распространяются бесплатно)
CodeSurfer (инструмент для обнаружения уязвимостей

Недостатки первого поколения

Большое число ложных срабатываний – 90% и выше
Пропуск реальных уязвимостей
Необходима

Современные анализаторы

Coverity Prevent
Klockwork Insight
Svace

Наш подход

Для обнаружения уязвимостей мы предлагаем применять следующее:
Межпроцедурный data-flow анализ с итерациями

Целью целочисленного анализа программы является получение необходимой информации о значении целочисленных атрибутов

Потеря точности в некоторых случаях.
Отсутствие информации о связях между переменными: в случае

Необходимость межпроцедурного анализа

f(char *p, char *s)
{ strcpy(p,s); // произойдет копирование 6 байт, включая

Необходимость анализа указателей

…
char a[10];
char * p;
p=a;
p[10]=0;
…
Для данного примера в случае отсутствия анализа

Спецификация окружения

char* strcpy(char *dst, const char *src) {
char d1 = *dst;//dst

Схема работы Svace

Анализируемая программа

Система сборки

Файлы с исходным кодом

Утилита перехвата

Компилятор LLVM-GCC
или CLANG

Исходный код

Измененная командная

Построение аннотаций

Биткод-файлы
для исходных
файлов

Спецификации библиотечных
функций на языке Си

Биткод-файлы спецификаций
библиотек

Компилятор LLVM-GCC или CLANG

Функции

Топологический порядок обработки функций

Граф вызовов функции

main

q

w

a

b

c

prinf

strcpy

Построение топологического порядка функций

a

b

c

q

w

main

Порядок анализа

Создание аннотаций библиотечных

Время анализа

* Не учитывается время компиляции проекта

Сравнение с Coverity Prevent

Текущее состояние

Анализ программ на Си\Си++.
Информация об исходном коде собирается при помощи компилятора

Avalanche: Обнаружение ошибок при помощи динамического анализа

Динамический и статический анализ кода
Динамический анализ - анализ программы во время выполнения
Статический

Обнаружение ошибок при помощи анализа программ

Динамический анализ
Требуется набор входных данных и/или среда

Valgrind

Фреймворк динамической инструментации
Обнаруживаемые ошибки:
Утечки памяти
Ошибки работы с динамической памятью
Неиницилизированные данные
Ошибки в многопоточных

Valgrind: общая схема работы

Внутреннее представление
команд Valgrind – абстрактная
RISC машина

Трасса выполнения программы

Трасса выполнения программы

Трасса выполнения программы

Трасса выполнения программы

Работы в этой области

EXE tool, Stanford University - символические вычисления
SAGE framework, Microsoft

Пример

char *names[] = { “one”, “two”, ...};
char buf[3];
fread(buf, 3, 1, f); //

Пример

fread(buf, 3, 1, f)

buf[0] == 1

buf[1] + buf[2] > 0

x1, x2, x3:

Пример

fread(buf, 3, 1, f)

buf[0] == 1

buf[1] + buf[2] > 0

Система уравнений:
x1, x2,

Пример

fread(buf, 3, 1, f)

buf[0] == 1

buf[1] + buf[2] > 0

Система уравнений:
x1, x2,

Avalanche

Отслеживает поток помеченных (потенциально опасных) данных
Изменяет входные данные, чтобы спровоцировать ошибку, или

Входные данные

Входные данные

\

Avalanche: итерация

Tracegrind

Трасса

Управляющий модуль

Трасса’

STP

Решение

Управляющий модуль

Входные данные

Covgrind

Метрики

Управляющий модуль

Управляющий модуль

Управляющий модуль

Управляющий модуль Avalanche

Координация работы других компонентов
Обход различных путей исполнения программы, инвертирование условий
Поддержка

Tracegrind

Отслеживает поток помеченных данных в программе
Все данные прочитанные из внешних источников (файлы,

Tracegrind

Моделирует оперативную память, регистры и временные переменные при помощи бит-векторов
Моделирует комманды при

Covgrind

Вычисление метрики покрытия кода программы (количество новых ББ покрытых на текущей итерации)
Перехват

STP - Simple Theorem Prover

SAT решатель (основан на MiniSat)
Проект с открытым исходным

Проект

Опубликован на Google Code http://code.google.com/p/avalanche
Лицензии:
Valgrind и Memcheck - GPL v2
STP - MIT license
Драйвер

Avalanche: возможности

Поддержка клиентских сетевых сокетов
Поддержка переменных окружения и параметров коммандной строки
Поддержка платформ

Результаты

Более 15-ти ошибок на проектах с открытым исходным кодом
Ошибки подтверждены и/или исправлены

Планы на будущее

Улучшение прозводительности
Поддержка новых источников входных данных (серверные сетевые сокеты, и

UniTESK

Случай тестирования отдельной функции:
Подобрать набор входных (тестовых) данных
Вычислить ожидаемый результат для каждого

Случай тестирования группы функции, класса/объекта, модуля с несколькими интерфейсами (обычно есть переменные

Типичные размеры тестовых наборов

Ядро ОС Linux (LTP)
18 Mbyte (при этом покрывает менее

Решения UniTESK

Исходная точка построения теста – формализация программного контракта в форме пред-

Формализация требований

Выделение модельного состояния
Описание формального контракта операций
Предусловия – задают область определения
Постусловия –

Простой пример спецификации в JavaTESK

public specification class SqrtSpecification {
public specification double

Общая схема тестирования

Тестовая система

Отчеты

Тестовые данные

Ожидаемые результаты, критерии полноты

Общая схема. Данные, оракул, покрытие

Пред-условия, итераторы

Пост-условия

Общая схема. Тестовый сценарий

описать и обойти КА

обходить и строить КА

Общая схема UniTESK

Модель состояния

Обходчик автоматов

Оракулы

Генератор

Итераторы данных

Метрика покрытия

Тестируемая система

Предусловия- фильтры

Постусловия

Применение UniTESK

Операционные системы
Ядро ОС телефонной станции 1994-1997
Linux Standard Base 2005-2010
Тестовый набор для ОС