XCon2024议题||从YakSSA到SyntaxFlow:静态代码分析技术的创新与实践
导语:本议题将深入探讨YakSSA和SyntaxFlow的技术细节,包括SyntaxFlow语言的高级特性,以及YakSSA HIR的设计实现、多语言前端的构建。
循万变·见未来——技术前瞻
未来,静态代码分析领域发展趋势将呈现五大特征:
特征一:关注度提升
随着该领域技术的日益普及和需求的不断上升,在未来,该领域将会受到更多技术和市场的关注。
特征二:全面的代码质量评估
随着分析技术的提高,静态代码分析工具或将超越基本的语法和安全性检查,可提供包括代码风格、可维护性、性能等多方面的综合评估,并且安全性将会进一步被重视,静态代码分析在识别和预防安全漏洞方面的作用将变得更加显著,通过与持续集成/持续交付(CI/CD)流程的对接和IDE的支持等,成为软件开发中不可或缺的一环。
特征三:遵从性与合规性支持
工具将更加注重帮助企业满足行业标准和法规要求,减少合规风险,特别是在部分高度规范的行业中。
特征四:定制化解决方案与开源生态
用户对于定制化静态代码分析规则的需求将持续增长,同时开源工具因其灵活性和成本效益而受到更多开发者的青睐,并促进形成更加活跃的社区和生态系统。
特征五:智能化分析工具
人工智能和机器学习技术的发展或将被应用于静态代码分析,以提供更为深入和精准的代码审查。
——四维创智(成都)科技发展有限公司
高级研发工程师 王磊
在静态代码分析领域,传统的审计工具往往受限于底层结构的不一致性和数据流分析的复杂性,导致跨语言审计和代码查询规则编写面临重重挑战。本议题旨在介绍YakLang.io团队在解决这些难题上取得的突破性成果,特别是YakSSA和SyntaxFlow两项创新技术。
YakSSA,一种为代码审计量身定制的静态单一赋值(SSA)格式中间表示(IR),解决了传统工具在OOP语言和闭包支持语言上的SSA化难题。它不仅保留了语言的关键特征,确保了代码审计和查询的准确性,而且通过设计实现了对多种编程语言的统一编译中端处理,显著提升了跨语言审计的可行性。
SyntaxFlow,一种全新的声明式高级程序行为分析语言,以其简洁的语法和强大的搜索功能,为用户提供了一种直观且功能丰富的代码查询工具。它支持精确和模糊搜索,能够进行语言特征搜索、数据流和控制流分析,以及代码特征过滤,极大地增强了代码审计的深度和广度。
本次XCon2024大会中,来自四维创智(成都)科技发展有限公司的高级研发工程师 王磊将带来议题《从YakSSA到SyntaxFlow:静态代码分析技术的创新与实践》,在提供对YakSSA和SyntaxFlow技术全面理解的同时,系统介绍它们在静态代码分析技术中的技术方案,深度探索这些技术在实际代码审计工作中的应用潜力。
议题简介
《从YakSSA到SyntaxFlow:静态代码分析技术的创新与实践》
本议题将深入探讨YakSSA和SyntaxFlow的技术细节,包括SyntaxFlow语言的高级特性,以及YakSSA HIR的设计实现、多语言前端的构建。此外,还将展示如何利用这些技术进行自动化且准确的跨过程分析,以及如何通过代码特征过滤和分析提高审计效率。
SSA格式IR的创新应用:YakSSA是首个专门用于代码审计的SSA格式IR,它在代码静态分析领域中引入了新的视角和方法。
跨语言审计能力:YakSSA的多语言前端实现,解决了现有工具在跨语言审计中的难题,提供了统一的编译中端。
SyntaxFlow的声明式查询语言:SyntaxFlow语言的简洁语法和强大的搜索功能,为用户提供了一种简单易懂且功能丰富的代码查询工具。
自动化和准确性:YakSSA和SyntaxFlow的结合,实现了自动化且准确的跨过程分析,提高了代码审计的效率和准确性。
代码特征过滤和分析:SyntaxFlow的高级过滤功能,允许用户根据特定的语言特征进行深入分析,为代码审计提供了新的维度。
演讲团队介绍
王磊——四维创智(成都)科技发展有限公司
YakLang.io 是国内最早提出“安全生态共建”、“安全能力融合”的安全团队。团队专注于开源社区,始终坚持"做难而正确的事"。
团队研发的Yak网络安全领域编程语言提供了非常强大的安全产品编程能力,是绝大部分"数据描述语言/容器语言"的超集。凭借先进的技术理念和对行业不变的热情,帮助用户进行安全能力建设,帮助用户应对变化多端的互联网安全威胁。
主要项目yaklang已开发出25个网络安全专用模块,超过100个网络安全专用库函数,在全球最大开源网站GitHub上建立了Yaklang开源社区,月调用次数达3000万次以上。项目成果获授权国内发明专利9项,受理4项,软著10项,发表论文5篇,出版专著1部,待出版教材1本,研究成果支撑了国际国内标准4项,项目取得了重要的社会和经济效益。
发表评论