1.2.2 缺点的范围

作者: （美）麦克劳（McGraw,G.） 出处:电子工业出版社 　2008-04-13 14:03　   砖    好    评论  条 　进入论坛

阅读提示：《软件安全：使安全成为软件开发必需的部分》在论述软件安全理论的基础上详细讲解了如何将软件安全付诸实践。本章讲述学科定义，最重要的事情就是找出什么是最重要的。本节讲了缺点的范围。

1.2.2  缺点的范围

在缺陷和瑕疵之间画出泾渭分明的界限当然很好，但是，它们实际上是纠缠不清的。有时很难分清楚问题是一个缺陷还是一个瑕疵。这是因为，瑕疵和缺陷共存于一个连续渐变的缺点统一体中。软件系统中的安全缺点可能是从局部实现错误（比如在C/C++中使用gets()函数），到过程间的接口错误（比如，出现在访问控制检查和文件操作之间的竞争条件），直到更高层的设计级错误（比如，没有实现安全模式的错误处理和恢复系统，或者错误地包含了中间信任问题的对象共享系统）之间的任何问题。

在详细说明大范围缺点时，我们可以通过如下几点来仔细地考虑：必须考虑多少程序代码才能理解弱点，必须了解执行系统的多少细节才能理解弱点，以及设计级的描述对于确定某个给定的弱点是否出现是不是最合适的。例如，不必了解其他代码的任何信息、设计或者执行环境，只要假定用户在标准输入中输入的文本可能是恶意的，我们就可以确定，在C/C++程序中调用gets()可能被缓冲区溢出攻击利用。因此，使用非常简单的词法分析就能精确地检测出gets()弱点。这种方法是第4章的主题。读者可以在第12章中找到低层编码缺点的分类法。
中级的弱点通常都与代码中多个位置之间的交互有关。例如，对竞争条件的精确检测就不能仅仅依靠简单地分析一行孤立的代码来实现——而需要了解多个函数的行为表现，理解共享的全局变量以及熟悉提供执行环境的操作系统。

设计级的弱点就更复杂。令人遗憾的是，确定一个程序是否存在设计级弱点需要非常精深的专业知识（这是第5章的主题）。这使得查找设计级的瑕疵不仅很难做到，而且特别难以自动实现。其中的问题是，设计级的问题似乎非常普遍，并且至少为严重级的代码安全风险类别。
考虑一个错误处理和恢复系统。失败恢复（failure recovery）是安全工程所要面临的一个基本问题。但是，这个问题很复杂，因为它与失败模型、冗余设计和抵御拒绝服务攻击互相关联在一起。要理解面向对象的程序中的错误处理和恢复系统是否安全，就必须弄明白在典型的设计中分散在多个类中的全局属性。错误检测代码通常都出现在每一个对象和方法中，而错误处理代码通常不同于错误检测代码，并且与错误检测代码是分离的。有时异常也出现在系统级中，并由运行代码的机器来进行处理（例如，Java 2虚拟机的异常处理）。这使得确定一个给定的错误处理和恢复系统的设计是否安全非常困难。在基于事务的系统中，这类问题更为严重，因为这些系统一般用于商业中的电子商务解决方案，它们的功能都分布于运行在多台服务器上的许多不同组件中。

设计级问题的其他例子还包括对象共享和信任问题、未保护的数据通道（内部和外部）、不正确或者缺失的控制机制、缺乏审核/日志或者不正确的日志、排序（ordering）和定时（timing）错误（特别是在多线程系统中），以及其他的许多问题。为了使软件安全作为一门科学的学科有所发展，软件安全专业人士就必须理解这些问题，并对它们进行精确的分类。

回书目   上一节   下一节