Поиск

www.samag.ru

Web

0 товаров , сумма 0 руб.

	Журнал "Системный администратор"
	Журнал «БИТ»
	Подписка
	Архив номеров
	Где купить
	Наука и технологии
	Авторам
	Рекламодателям
	Контакты

Опросы

Статьи

Работа с Debian

О Linux с любовью или Debian: через знание к любви

Конечно, одним лишь перечислением замечательных качеств любовь к Linux не возникнет. Для

Опрос

Защита личных и клиентских данных: как мошенники используют ИИ и как защититься?

По данным RED Security, общее число кибератак на российские компании в 2024

Опрос

Облачные инструменты для разработчиков

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Как с помощью облака сделать

Опрос

Рынок мобильных приложений: что будет актуальным в 2025 году?

Эксперты ИТ-отрасли отвечают на вопросы «Системного администратора» > Ваши прогнозы: чего ожидать от

Рынок труда

Как успешно пройти все этапы собеседования на ИТ-должность?

По оценкам государства, дефицит ИТ-специалистов составляет от 740 тысяч до 1 миллиона

1001 и 1 книга

19.03.2018г.

Комментарии: 0

Машинное обучение с использованием библиотеки Н2О

12.03.2018г.

Комментарии: 0

Особенности киберпреступлений в России: инструменты нападения и защита информации

12.03.2018г.

Комментарии: 0

Глубокое обучение с точки зрения практика

12.03.2018г.

Комментарии: 0

Изучаем pandas

12.03.2018г.

Комментарии: 0

Программирование на языке Rust (Цветное издание)

19.12.2017г.

Комментарии: 0

Глубокое обучение

19.12.2017г.

Комментарии: 0

Анализ социальных медиа на Python

19.12.2017г.

Комментарии: 0

Основы блокчейна

19.12.2017г.

Комментарии: 0

Java 9. Полный обзор нововведений

16.02.2017г.

Комментарии: 0

Опоздавших не бывает, или книга о стеке

17.05.2016г.

Комментарии: 0

Теория вычислений для программистов

30.03.2015г.

Комментарии: 0

От математики к обобщенному программированию

18.02.2014г.

Комментарии: 0

Рецензия на книгу «Читаем Тьюринга»

13.02.2014г.

Комментарии: 0

Читайте, размышляйте, действуйте

12.02.2014г.

Комментарии: 0

Рисуем наши мысли

10.02.2014г.

Комментарии: 4

Страна в цифрах

18.12.2013г.

Комментарии: 0

Большие данные меняют нашу жизнь

18.12.2013г.

Комментарии: 0

Компьютерные технологии – корень зла для точки роста

04.12.2013г.

Комментарии: 0

Паутина в облаках

03.12.2013г.

Комментарии: 1

Рецензия на книгу «MongoDB в действии»

Друзья сайта

Применение FOSS-инструментов для анализа исходных текстов программ

Архив номеров / 2019 / Выпуск №03 (196) / Применение FOSS-инструментов для анализа исходных текстов программ

Рубрика: Событие / СПО в образовании

АЛЕКСЕЙ ПУСТЫГИН, к.т.н., доцент, ЧелГУ

КИРИЛЛ КУЗЬМИНЫХ, студент-дипломник, ЧелГУ

ЕВГЕНИЯ ПУСТЫГИНА, студент-дипломник, ЧелГУ

Применение FOSS-инструментов
для анализа исходных текстов программ

Использование внутреннего представления исходного текста открывает путь для систематического изучения и преобразования исходного кода программ. Рассмотрены FOSS-утилиты, использующие внутреннее представление исходного кода

С целью актуализации выполняемых разработок были предприняты усилия для обзора открытых инструментов, пригодных в качестве базы сравнения с разрабатываемыми прототипами.

Были рассмотрены существующие открытые инструменты для анализа, использующие построение синтаксического дерева разбора (AST):

PyCharm – IDE с открытой версией (подписная free licence) [1].
Vulture – анализатор кода в программах Python [2], использует модуль ast стандартной библиотеки и создает абстрактные синтаксические деревья для всех файлов исходного кода в проекте.
ObjectWeb ASM (частью входит в Java Development Kit 6) [3] – API для представления кода JAVA в виде дерева.
Joern – анализатор исходного кода [4], способный построить:
- абстрактное синтаксическое дерево,
- граф управления,
- граф вызовов,
- граф структуры каталога исходного кода,
- граф программных зависимостей для исходного текста на языке С++.

Инструмент Joern работает в связке с системой управления графовой NoSQL базой данных Neo4j [5] – графовая система управления базами данных c открытым исходным кодом, реализованная на Java. Считается самой распространенной графовой СУБД, формат данных собственный, специализированный.

Joern имеет собственный язык запросов Cypher, но запросы можно делать и другими способами, например, напрямую через Java API и на языке Gremlin, созданном в проекте с открытым исходным кодом TinkerPop.

Исследование прототипа сравнения показало ограничение его функциональности по глубине построения синтаксического дерева разбора

С целью ознакомления с возможностями базовых инструментов был выполнен проект по применению Joern как наиболее функционального для решения типовых анализа потока управления.

Для обработки информации, полученной с помощью инструмента Joern, применялась написанная программа постобработки на Python.

В функционал постобработки входят:

построение трассы исполнения программы по исходному тексту;
получение списка всех информационных объектов программы по исходному тексту;
проверка наличия заданных конструкций в исходном тексте программы;
формирование полного перечня маршрутов исполнения функциональных объектов по исходному тексту программы;
контроль связей функциональных объектов в исходном тексте программы по информации;
контроль связей функциональных объектов в исходном тексте программы по управлению.

Параметры запуска и результаты тестирования программы постобработки доступны всем желающим в открытом источнике [6].

Под функциональными объектами понимаются:

объекты классов,
локальные и глобальные переменные проекта, непосредственно участвующие в алгоритме.

Под маршрутом исполнения функционального объекта понимается его «линия жизни» от момента создания до указанного места в исходном коде.

Результатом исполнения скрипта постобработки будет перечень всех маршрутов исполнения, в которых, так или иначе, встречается использование указанного функционального объекта, либо сообщение о том, что такие маршруты отсутствуют.

Программа постобработки может контролировать связи функциональных объектов проекта по управлению и по информации.

Для этих задач необходимо выбрать два функциональных объекта:

исследуемый,
второстепенный.

Под связью функциональных объектов по управлению понимается любое воздействие исследуемого объекта на второстепенный, в том числе:

модификация (чтение, запись) данных второстепенного объекта,
вызов методов второстепенного объекта,
любое другое воздействие на данные второстепенного объекта.

Под связью функциональных объектов по информации подразумевается любое взаимодействие второстепенного объекта на данные исследуемого объекта.

Поиск и анализ такого рода связей между объектами является неотъемлемой частью анализа текста любого программного продукта. Он дает возможность убедиться в отсутствии недокументированных возможностей программы, отсутствии избыточности исходного кода.

Приведем пример использования пакета из Joern и инструмента постобработки. Анализируемый текст (Python):

ifstream file("graphFile");

unsigned int n = 0;
unsigned int oriented;
file >> n >> oriented;

G.resize(n);

while (!file.eof()) {
int a, b;
file >> a;
file >> b;

G[a].push_back(b);
if(oriented == 0) {
G[b].push_back(a);
}
}

file.close();

Рисунок 1. Граф трасс исполнения анализируемого текста

Исследование прототипа сравнения показало ограничение его функциональности по глубине построения синтаксического дерева разбора, а также недостаточный уровень документирования инструмента Joern.

The Python IDE for Professional Developers – http://www.jetbrains.com/pycharm/index.html (просмотрено 09.01.2019).
Vulture – pythondead-code-removal – http://github.com/jendrikseipp/vulture (просмотрено 09.01.2019).
ASM – bytecode manipulation and analysis framework – http://asm.ow2.org/ (просмотрено 09.01.2019).
A robust parser for C/C++ storing abstract syntax trees – http://github.com/octopus-platform/joern (просмотрено 09.01.2019).
Graph Databases for Connected Data – http://neo4j.com (просмотрено 09.01.2019).
https://github.com/Oskal174/staticProgramAnalysis/.

Ключевые слова: FOSS-инструменты, Joern, Python, анализ, исходный код.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

Tel.: (499) 277-12-45
E-mail: sa@samag.ru