祝賀:源傘科技與香港科大安全實驗室首次合作論文入選PLDI 2018
早上接到通知,源傘科技與香港科技大學安全實驗室合作的論文「Pinpoint: Fast and Precise Sparse Value Flow Analysis for Million
Lines of Code」成功入選程序分析領域最權威的國際會議PLDI 2018(ACM SIGPLAN Conference on Programming Language Design andImplementation)。信件原文如下:在過去5年(2013 - 2017),整個大中華地區(含港澳台)只有6篇論文入選PLDI,其中兩篇就來自港科大安全實驗室,包括迄今為止亞洲唯一的一篇傑出論文,以及2014年源傘科技創始人在讀時發表的一篇論文。這次入選的Pinpoint論文,也是在整個PLDI歷史上,大中華地區第一篇由企業參與並主導的論文。該文章的入選,不僅標誌著源傘科技的技術得到了國內外專家同行的高度認可,更重要的意義是中國本土企業的研發水平得到了國際學術界的認同。技術創新是源傘的生存根基,我們將繼續秉持著堅持自主研發,不斷攻克技術難題,給用戶創造價值的理念砥礪前行,實現源傘科技成立的宏願:Make 「Made in China」 great again !
Pinpoint論文簡介
稀疏程序分析是一種重要的靜態分析技術,其稀疏演算法可以在保證精度不變的同時,極大的提高數據流分析的速度。但像傳統技術一樣,當分析精度要求很高時,其性能仍受限於指針分析帶來的數據關係複雜度提升。
其關鍵問題在於,現有的稀疏程序分析方法採用層狀設計,即首先進行完整的指針分析,再進行數據依賴分析等後續分析。由於精確的指針分析本身非常消耗資源,因此稀疏演算法帶來的性能提升被徹底掩蓋。實踐中通常採用較低精度的指針分析,甚至放棄指針分析,從而實現百萬行規模的軟體分析。但這樣會使後續的漏洞檢測出現大量的誤報漏報。
Pinpoint提出了最新「全局設計」方案分解指針分析的負擔,從而第一個在工業級靜態漏洞檢測技術中引入了精確的指針分析技術,在極大的提升精度和召回率的同時,也保證了其能在可接受的時間內完成百萬行甚至千萬行代碼的檢測掃描。我們使用Pinpoint持續的檢查開源軟體漏洞。目前,已經為開源軟體找到了五十餘個漏洞,其中不乏高危漏洞,並獲得了數個CVE ID。據評估,Pinpoint無論性能、誤報率和漏報率,遠優於目前流行的開源漏洞檢測工具Clang Static Analyzer和Facebook Infer,達到世界一流水平。
在線試用
為了祝賀Pinpoint技術論文入選PLDI,我們在源傘科技官網推出了在線測試欄目(https://www.sourcebrella.com/online-showcase/),大家可以在這裡親自體會一下Pinpoint系統的工業化水平。目前在線檢測主要支持語言為C和C++,Java支持初步推出,一共提供超過150種CWE缺陷的檢測。在線測試使用體驗如下:
我們也開通了一個和大家交流的郵箱:bugs@sbrella.com,大家在使用過程中有任何問題歡迎來和我們進行交流,包括誤報漏報,對檢查結果有不同看法等。我們希望在大家的幫助下,更好的打磨我們的產品,能夠成為一款真正代表中國製造的軟體分析系統!
當然,感受過在線測試想試用我們完整產品的朋友,也歡迎在官網進行試用申請。我們儘快回復和確認你的申請。也歡迎直接接洽我們商務合作:business@sbrella.com。
推薦閱讀: