漏洞討論

與整體安全目標的更好連接需要更復雜的規(guī)范

我們已將實施漏洞歸類為違反軟件組件的特定部分規(guī)范。但是，與整個軟件系統(tǒng)的安全目標的連接很弱。軟件系統(tǒng)完全有可能存在實現漏洞，但無法利用該漏洞來破壞系統(tǒng)的安全目標，例如，因為系統(tǒng)中的其他地方有多余的對策。更重要的是，如果一個軟件系統(tǒng)沒有任何我們討論的實現漏洞，它仍然可能無法實現其安全目標。

(資料圖片僅供參考)

為了更好地保證軟件系統(tǒng)滿足安全目標，可以將安全目標正式化為規(guī)范。在設計階段，在子組件中分解系統(tǒng)時，應指定子組件的行為

這樣它們共同暗示了整個系統(tǒng)的規(guī)范。通過這樣的設計，一方面是違反規(guī)范的實現漏洞與系統(tǒng)的整體安全目標之間的聯系另一方面，要強大得多。

但是，重要的是要注意，在這種情況下，規(guī)范將變得更加復雜和特定于域。我們討論一個額外復雜性的例證。對于我們討論的漏洞類別（內存管理、結構化輸出生成、競爭條件和API漏洞），相應的規(guī)范表達了軟件單次執(zhí)行的屬性：給定的執(zhí)行滿足或違反規(guī)范，一旦存在違反規(guī)范的執(zhí)行，軟件就會出現漏洞。規(guī)范。

但是，有些軟件安全目標不能表示為單個執(zhí)行跟蹤的屬性。這種安全目標的一個廣泛研究的例子是信息流安全。確定性順序程序的此安全目標的基線規(guī)范如下：將程序的輸入和輸出標記為公共或機密，然后要求軟件沒有兩次執(zhí)行相同的公共輸入（但不同的機密輸入）具有不同的公共輸出。查看執(zhí)行對的直覺如下：程序可能不會直接泄露機密數據，而是泄露有關此數據的一些部分信息。如果通過多次運行收集，攻擊者可以收集如此多的信息，以至于最終機密原始數據的相關部分實際上被泄露。上述規(guī)范有效地要求機密輸入永遠不會以任何方式影響公共輸出，因此不能泄露甚至部分信息。以雙重方式，可以通過要求低完整性輸入不會影響高完整性輸出來表達完整性目標。

但是，信息流規(guī)范比我們在前面部分中討論的規(guī)范更復雜，因為需要兩次執(zhí)行才能顯示違反規(guī)范的情況。信息泄露漏洞違反了（面向機密性的）信息流策略。它們也可以理解為違反規(guī)范，但現在這是一個談論軟件系統(tǒng)多次執(zhí)行的規(guī)范。這對制定解決這些漏洞的對策產生了深遠的影響[12]。

側信道漏洞不同

根據定義，側信道漏洞并不違反軟件源代碼抽象級別的規(guī)范：它們本質上使用源代碼抽象的效果。但是，如果開發(fā)的軟件執(zhí)行基礎結構模型足夠詳細，可以模擬側信道攻擊，那么側信道漏洞可以再次被理解為違反部分規(guī)范。可以通過為執(zhí)行基礎結構提供規(guī)范來選擇在執(zhí)行基礎結構中定位漏洞，該規(guī)范指出它不應引入其他通信機制。這基本上是完全抽象理論[13]所要求的?；蛘?，可以改進源代碼語言的模型，以暴露特定側信道攻擊中使用的效果，從而可以在源代碼級別表達側信道漏洞。處理一般軟件側信道漏洞尚未得到很好的理解，也沒有普遍適用的現實對策。當然，可以隔離執(zhí)行，即防止在同一硬件上并發(fā)執(zhí)行，但這與其他目標（例如優(yōu)化硬件利用率）相矛盾。

漏洞作為故障

通過漏洞違反的規(guī)范對漏洞進行分類對于理解相關的漏洞類別很有用，但并不是一個完整的分類法：有大量的軟件部分規(guī)范有助于實現某些安全目標的系統(tǒng)。然而，漏洞可以被視為故障概念的一個實例，在可靠計算領域進行了研究，并且在該領域已經開發(fā)了良好的故障分類法[14]。

關鍵詞：