Linux代码淬火工具

介绍用来提高Linux应用程序安全性和可靠性的开源工具和代码追踪技术。

一、源代码检查工具

在软件开发过程中，我们可以利用源码检查工具来找出常见的编程错误以及安全漏洞。这些工具用起来并不复杂，下面介绍splint和flawfinder这两款源码检查工具的使用方法。

splint是一款静态源代码检查工具，能对源代码进行全面的分析。对于没有注释的源代码，可以使用-weak选项：

splint -weak *.c -I./inc

其中，./inc是头文件所在的子目录。此外，Splint还支持标准检查模式（选项-standard），若要进行中等强度检查则使用选项-checks，若使用选项-strict则进行最严格的检查。

flawfinder也是一款用来寻找源代码错误的静态分析工具。通过该工具提供错误消息，开发人员可以更快的找到错误所在。请看下面的例子：

$ flawfinder test.c

test.c:11: [2] (buffer) char:

Statically-sized arrays can be overflowed. Perform bounds

checking, use functions that limit length, or ensure that

the size is larger than the maximum possible length.

$

本例中，flawfinder给出了一个提示，指出静态尺寸的数组可能被恶意利用的潜在危险。

除了上面介绍的splint和flawfinder这两款工具外，还有RATS（一款安全审计工具）以及ITS4（静态漏洞扫描工具）等工具可用。但需要

注意的是，虽然这些工具能够分担一部分工作，但却无法完全替代人类。因为工具在发现漏洞的同时，也可能遗漏安全漏洞。

二、代码跟踪技术

我们知道，strace工具通常是用来追踪系统调用的，实际上，它还可以作为间接的源代码审计工具。从系统调用的角度来跟踪应用程序的执行，可以让我们了解到Linux应用程序的底层操作，借助这些低层操作我们可以更好的理解我们的源代码。

在下面的例子中，有多处违反了我们前面讨论的代码淬火原则，现在我们展示如何利用strace来进行调试。

#include <unistd.h>

#include <fcntl.h>

#define MAX_BUF 128

int main()

{

int fd;

char buf[MAX_BUF+1];

fd = open( "myfile.txt", O_RDONLY );

read( fd, buf, MAX_BUF );

printf( "read %s\n", buf );

close( fd );

}

我们注意到，上面的代码的第11行，即：fd = open( "myfile.txt", O_RDONLY

);

试图打开一个称为myfile.txt的文件，但事前并没有检查该文件是否业已存在。在这种情况下执行该程序的话，会导致无法预测的结果：

$ gcc -o bad bad.c

$ ./bad

read @?8Z@

$

看看，这样的结果是你没料到的吧。所以，先让我们利用strace来看看到底发生了什么。注意，下面的输出已经作了删减，但重要的信息都保留下来了：

$ strace ./bad

execve("./bad", ["./bad"], [/* 20 vars */]) = 0

uname({sys="Linux", node="camus", ...}) = 0

...

open("myfile.txt", O_RDONLY) = -1 ENOENT ( No such file or

directory)

read(-1, 0xbfffef20, 128) = -1 EBADF (Bad file descriptor)

fstat64(1, {st_mode=S_IFCHR|0620, st_rdev=makedev(136, 0), ...}) = 0

mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS,

-1, 0) = 0x40017000

write(1, "read \300\357\377\2778Z\1@\n", 14read /à???8z@

) = 14

close(-1) = -1 EBADF (Bad file descriptor)

munmap(0x40017000, 4096) = 0

exit_group(-1) = ?

$

执行程序后，我们看到用来启动该程序的系统调用是execve()；不久又调用了open()，该系统调用对应于代码中的第11行。并且我们看到系统调用

open()的右边的返回值是-1，并指出错误"ENOENT ( No such file or

directory)"，即不存在这个文件或目录。换句话说，这是在告诉我们需要先建立文件。此外，系统调用read()也以失败而告终，它的错误是非法

的文件描述符，因为open调用失败了。

strace工具不仅用来帮助理解有源代码的程序的行为，而且也对于没有源代码的程序也同样有效。因为，透过对系统调用的观察，我们能够在二进制级别来理解程序的行为。

三、小结

古人云，工欲善其事，必先利其器。借助于上文介绍的代码淬火方面的编码知识，用来提高Linux应用程序安全性和可靠性的调试工具，相信读者能够更快更好开发出安全可靠的高品质软件来。