Анализ кода: Символьная Виртуальная Машина

Узкотематические секции

Безопасность программного кода, SQL и прочие инъекции
Application security

Доклад принят в программу конференции

Мнение Программного комитета о докладе

Глубокий доклад про алгоритмы статического анализа безопасности. Будет интересен не только безопасникам, но и тем, кто любит красивые низкоуровневые решения.

Целевая аудитория

AppSec, DevSecOps, разработчики и пользователи SAST решений, тестировщики и участники безопасной разработки

Тезисы

Существуют разные подходы анализа кода, где одним из них является символьное выполнение. Этот анализ обрабатывает всевозможные входные данные, символы, которые приводят ко всевозможным состояниям программы, что позволяет изучать свойства кода в символьных терминах, а отвечает за это символьная виртуальная машина.

Мы поговорим о том, какие данные и команды использует символьная виртуальная машина для трансляции и последующего анализа исходного кода, и в чем заключается особенности символьной виртуальной машины, в сравнении с обычными.

За плечами работа над вероятностными пространствами и Digital Forensic. С 2017 года занимаюсь разработкой SAST и SMT решений, в частности разработкой символьной виртуальной машины для символьного анализа исходного кода. Сейчас - ведущий разработчик анализа исходного кода в Positive Technologies.

Видео