世界物联网博览会 梆梆安全解决物联世界本源里的安全危机
星期一, 九月 16, 2019
2019年9月7-8日由国家工业和信息化部、江苏省人民政府主办,江苏省工业和信息化厅、无锡市人民政府承办的2019世界物联网博览会在无锡召开。本届博览会以“融合创新 万物智联”为主题,江苏省委书记娄勤俭,工业和信息化部党组成员、副部长王志军出席峰会并讲话。来自中国、美国、日本、德国、英国、意大利、加拿大、俄罗斯、新加坡、伊朗、土耳其等30多个国家和地区的业界精英齐聚无锡,共话全球物联网产业发展。
图1:2019世界物联网博览会
作为2019世界物联网博览会重要分论坛之一的“2019世界物联网博览会信息安全高峰论坛暨第十二届信息安全漏洞分析与风险评估大会”,由中国信息安全测评中心、江苏省委网信办和无锡市人民政府主办,复旦大学、江苏省物联网信息安全实验室、无锡市委网信办、无锡市滨湖区人民政府共同承办。论坛以“融合互联世界,共铸智联安全”为主题,邀请了信息安全领域众多专家学者,共同研讨物联网信息安全相关热点、重点问题、分享理论方法和最新技术实践的前沿成果,促进网络和信息安全领域政、产、学、研、用等各方的交流互动和成果共享
图2:2019世界物联网博览会信息安全高峰论坛
梆梆安全陈忠在此论坛上发表了《基于IR码的物联网源码漏洞分析》主题演讲。梆梆安全认为传统静态源码分析在物联网场景下面临三大挑战,一是传统静态扫描工具对物联网应用主力开发语言C/C++涉及的内存漏洞挖掘、涉及指针问题的漏洞挖掘的力不从心;二是在物联网软件供应链涉及大量三方、开源代码、组件的背景下,传统静态扫描工具在跨函数分析、跨模块分析上的表现差强人意;三是物联网整体软硬件碎片化的现象较为突出,海量平台架构导致源代码在编译到不同平台上时平台上下文(如数据精度)引起的漏洞和质量问题传统静态扫描工具无法良好分析。
针对此背景,梆梆安全创新性提出基于IR码的源码漏洞分析方法。IR码是代码编译过程的中间表示。这种方法不同于传统静态扫描工具构建语法树->执行模式分析的技术路径,而是在程序近执行态构建了程序的全生命周期视图,在此基础上执行漏洞分析。这种方法的核心技术发源于编译器优化技术-静态单赋值(SSA),梆梆安全在SSA基础上实现了“增强的堆静态单赋值”(Enhanced-HSSA)。基于E-HSSA优化后的IR分析,在物联网应用源码分析场景,非常好的实现了对象敏感性、控制流敏感性和上下文敏感性。极大的改善了传统静态分析工具的漏报、误报问题。
图3:梆梆安全解读《基于IR码的IoT源码漏洞分析》
物联世界在给人们的工作生活带来更多便捷和无限可能,这就更需要及时发现物联世界本源——代码里的安全隐患。专注于程序安全、程序质量的梆梆安全,将持续输出自己的安全能力共筑美好物联世界!