鑒釋科技劉新銘：讓軟件開(kāi)發(fā)更安全、更高效

原創(chuàng)
作者：趙立京 2021-04-02 14:06:59

云計(jì)算 鑒釋科技要做的事情就是主動(dòng)發(fā)現(xiàn)這些bug。劉新銘先生解釋說(shuō)，這些問(wèn)題其實(shí)都是在軟件開(kāi)發(fā)的過(guò)程中，思考的不夠周密，對(duì)接的不夠流暢。所以一個(gè)好的環(huán)境要容錯(cuò)，容錯(cuò)的同時(shí)要能夠自動(dòng)糾正錯(cuò)誤，這正是鑒釋科技要做的事情。

專(zhuān)注于為中小企業(yè)提供成都做網(wǎng)站、網(wǎng)站設(shè)計(jì)服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)延邊朝鮮族免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動(dòng)了近1000家企業(yè)的穩(wěn)健成長(zhǎng)，幫助中小企業(yè)通過(guò)網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

【51CTO.com原創(chuàng)稿件】隨著互聯(lián)網(wǎng)行業(yè)的飛速發(fā)展，IT從業(yè)者成為了一個(gè)備受關(guān)注的群體，“程序猿”、“碼農(nóng)”、“攻城獅”這些綽號(hào)中多少都帶著些許的自嘲味兒，因?yàn)殡S著年齡的增長(zhǎng)，他們面臨著越來(lái)越窄的職業(yè)上升通道，在我國(guó)，似乎很少看到40歲以上的程序員，35歲成為了IT從業(yè)者的一道坎。

劉新銘先生，鑒釋科技聯(lián)合創(chuàng)始人兼首席架構(gòu)師，有著約30年的IT從業(yè)經(jīng)歷，從敲代碼做編譯器，到管理工作，從risk architecture開(kāi)始，從大電腦到小電腦，到手機(jī)，到物聯(lián)網(wǎng)，再到超大型的云計(jì)算，可以說(shuō)劉新銘先生參與了信息科技的整個(gè)發(fā)展過(guò)程。

[[391096]]

鑒釋科技聯(lián)合創(chuàng)始人兼首席架構(gòu)師  劉新銘

經(jīng)過(guò)了十余年的一線(xiàn)開(kāi)發(fā)工作和十余年的管理工作，劉新銘先生選擇了創(chuàng)業(yè)?！皠?chuàng)業(yè)有兩個(gè)目的，一是繼續(xù)做創(chuàng)新的事業(yè)，二是想要找對(duì)的人，培訓(xùn)好，然后組織一個(gè)高效能的團(tuán)隊(duì)。創(chuàng)業(yè)是希望為員工服務(wù)，讓所有員工的潛能發(fā)揮到極致。”劉新銘先生表示。

創(chuàng)立鑒釋科技的初衷：發(fā)現(xiàn)bug，修改bug

軟件無(wú)處不在，當(dāng)今軟件已經(jīng)滲透到了我們的工作、生活、娛樂(lè)的方方面面，軟件正在改變世界。客觀的說(shuō)，所有的軟件都存在或大或小的問(wèn)題。據(jù)統(tǒng)計(jì)，每1000行代碼就會(huì)至少有一個(gè)bug，存在安全問(wèn)題；每1400行就會(huì)有嚴(yán)重的安全問(wèn)題。在80年代，一個(gè)大的軟件約有1萬(wàn)行的代碼，90年代是幾十萬(wàn)行，2000年之后是百萬(wàn)行，現(xiàn)在是千萬(wàn)行。也就是說(shuō)當(dāng)今千萬(wàn)級(jí)的軟件會(huì)有約100個(gè)bug，這些bug往往不會(huì)被發(fā)現(xiàn)，而是等被黑客攻擊的時(shí)候才被發(fā)現(xiàn)。

鑒釋科技要做的事情就是主動(dòng)發(fā)現(xiàn)這些bug。劉新銘先生解釋說(shuō)，這些問(wèn)題其實(shí)都是在軟件開(kāi)發(fā)的過(guò)程中，思考的不夠周密，對(duì)接的不夠流暢。所以一個(gè)好的環(huán)境要容錯(cuò)，容錯(cuò)的同時(shí)要能夠自動(dòng)糾正錯(cuò)誤，這正是鑒釋科技要做的事情。

把靜態(tài)代碼分析做到極致

目前，軟件應(yīng)用安全測(cè)試主要有三種方式：動(dòng)態(tài)代碼分析、靜態(tài)代碼分析、交互代碼分析。靜態(tài)代碼分析是在不實(shí)際執(zhí)行程序的情況下，對(duì)代碼語(yǔ)義和行為進(jìn)行分析，由此找出程序中由于錯(cuò)誤的編碼導(dǎo)致異常的程序語(yǔ)義或未定義的行為。通俗的說(shuō)，靜態(tài)代碼分析就是在代碼編寫(xiě)的同時(shí)就能找出代碼的編碼錯(cuò)誤。靜態(tài)代碼分析不需要等待所有代碼編寫(xiě)完畢，也不需要構(gòu)建運(yùn)行環(huán)境，編寫(xiě)測(cè)試用例。它能在軟件開(kāi)發(fā)流程早期就發(fā)現(xiàn)代碼中的各種問(wèn)題，從而提高開(kāi)發(fā)效率和軟件質(zhì)量。

愛(ài)科識(shí)是鑒釋科技的用于靜態(tài)代碼掃描（SAST）的下一代源代碼分析工具，使用深層的編譯器級(jí)別技術(shù)來(lái)檢查數(shù)據(jù)流，分析軟件應(yīng)用程序，從而提高缺陷檢測(cè)的準(zhǔn)確性。

愛(ài)科識(shí)通過(guò)集成到軟件開(kāi)發(fā)過(guò)程中，為企業(yè)提高生產(chǎn)效率。通過(guò)分析識(shí)別可能導(dǎo)致缺陷的源代碼，避免內(nèi)存污染、核心轉(zhuǎn)儲(chǔ)、緩沖區(qū)溢出、非法操作，以及空指針等問(wèn)題的出現(xiàn)。愛(ài)科識(shí)的算法主要包括數(shù)據(jù)流分析、控制流分析、上下文敏感度分析、對(duì)象敏感度分析、跨程序分析，以及跨文件分析。同時(shí)， 它最大限度地減少了誤報(bào)的數(shù)量，以確保調(diào)試的效率。

劉新銘先生對(duì)此進(jìn)行了深入淺出的講解：軟件的bug往往出現(xiàn)在“跨界”的時(shí)候，如從一個(gè)函數(shù)跳到另一個(gè)函數(shù)，從一個(gè)模塊跳到另外一個(gè)模塊。如果檢測(cè)不好互動(dòng)的問(wèn)題，不能準(zhǔn)確的判斷執(zhí)行的狀態(tài)，就無(wú)法得到準(zhǔn)確的數(shù)據(jù)，也就無(wú)法精準(zhǔn)的分析出來(lái)哪個(gè)地方可能會(huì)有安全隱患。這種跨函數(shù)的賦值追蹤，是鑒釋科技靜態(tài)代碼分析工具的最大優(yōu)勢(shì)。

未來(lái)會(huì)做更加專(zhuān)業(yè)的交互式代碼分析

靜態(tài)代碼分析的弊端在于隨著現(xiàn)代軟件系統(tǒng)規(guī)模越來(lái)越大，系統(tǒng)復(fù)雜度也越來(lái)越高，從傳統(tǒng)的單機(jī)系統(tǒng)變?yōu)榉植际较到y(tǒng)，同構(gòu)系統(tǒng)變?yōu)楫悩?gòu)系統(tǒng)，而且軟件開(kāi)發(fā)的編程語(yǔ)言也從使用單一的語(yǔ)言發(fā)展為多種語(yǔ)言協(xié)同開(kāi)發(fā)。這些變化都對(duì)靜態(tài)代碼分析工具帶來(lái)了巨大挑戰(zhàn)?！安荒馨阉械脑创a都拿到”是靜態(tài)代碼分析工具面臨的最大挑戰(zhàn)。

劉新銘先生透露，交互式的代碼分析工具將是鑒釋科技未來(lái)發(fā)展的一個(gè)方向。交互式的代碼分析工具就是在與庫(kù)對(duì)接的地方，建一個(gè)防火墻，做各種檢測(cè)：“拿進(jìn)來(lái)的東西是否符合規(guī)格，送出去的東西是否符合公司的規(guī)范，資訊是否有泄露。”當(dāng)然，交互式也不一定是完善的，因?yàn)槿绻烙龅臉O端的嚴(yán)謹(jǐn)，就會(huì)變的封閉起來(lái)，太松的話(huà)又起不到安全防御的作用。鑒釋科技下一步的目標(biāo)就是“要明確的知道哪個(gè)地方可以松一點(diǎn)，哪個(gè)地方需要緊一點(diǎn)，該松的地方松，該緊的地方緊，這樣才能實(shí)現(xiàn)順暢的互動(dòng)。

讓軟件開(kāi)發(fā)更高效

回到開(kāi)篇所說(shuō)的工程師環(huán)境，除了必要的代碼分析工具，企業(yè)文化也是非常重要的一環(huán)。當(dāng)今中國(guó)大部分企業(yè)的架構(gòu)是負(fù)責(zé)軟件開(kāi)發(fā)的人員是開(kāi)發(fā)工程師，負(fù)責(zé)測(cè)試的人員是測(cè)試工程師，開(kāi)發(fā)和測(cè)試是分開(kāi)的。大部分的開(kāi)發(fā)人員都不會(huì)去測(cè)試自己寫(xiě)的代碼，這樣的工作方式導(dǎo)致了開(kāi)發(fā)和測(cè)試的割裂，在尋找和修改bug的工作上浪費(fèi)了很多時(shí)間和精力。如果開(kāi)發(fā)和測(cè)試工作相結(jié)合，即開(kāi)發(fā)工程師在寫(xiě)完代碼后就自己先進(jìn)行測(cè)試，由于開(kāi)發(fā)者更加熟悉自己寫(xiě)的代碼，所以這樣的工作方法會(huì)更加高效。 “希望鑒釋科技未來(lái)會(huì)改變這種現(xiàn)狀，讓中國(guó)企業(yè)的軟件開(kāi)發(fā)變得更高效！”劉新銘先生表示。

 

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】

 

網(wǎng)頁(yè)名稱(chēng)：鑒釋科技劉新銘：讓軟件開(kāi)發(fā)更安全、更高效
當(dāng)前網(wǎng)址：http://m.5511xx.com/article/ccedgsj.html