多核處理器在嵌入式設(shè)備中無處不在，但是對于開發(fā)安全關(guān)鍵型設(shè)備來說，仍然是一個重大挑戰(zhàn)。多核處理器提供真正的并發(fā)性，意味著需要真正多線程的編程，這仍舊很難處理。在任務(wù)關(guān)鍵型軟件中，靜態(tài)分析是關(guān)鍵，因為它可以捕捉到傳統(tǒng)測試(例如單元、功能和系統(tǒng)測試)遺漏的缺陷，及開發(fā)者花費數(shù)個小時甚至許多天才能解決的缺陷。在安全與保安關(guān)鍵型系統(tǒng)中，多核平臺的優(yōu)勢必須大于風(fēng)險。

安全關(guān)鍵型系統(tǒng)中的多核

多核處理器及其相應(yīng)的硬件平臺為安全關(guān)鍵型系統(tǒng)提供許多重要的功能：

1.分區(qū)：一個單一硬件單元可以通過虛擬分區(qū)安裝多個操作系統(tǒng)和應(yīng)用軟件。多核CPU為強大的分區(qū)提供性能和處理器支持。

2.分割：類似于分區(qū)，但是可以將系統(tǒng)關(guān)鍵部分與非關(guān)鍵部分分割開來。例如，嵌入式平臺可以安裝一個實時操作系統(tǒng)，來控制一個帶用戶界面的強大且多功能的操作系統(tǒng)。

3.整合：多核平臺在單一平臺上提供分割功能，大幅減少產(chǎn)品所需的材料成本。提高單位電壓的處理器性能會降低運行成本。

圖1. 在多核平臺上采用虛擬分區(qū)的系統(tǒng)案例。按照關(guān)鍵性和功能來分割是具有可操作性的。

但是，多核處理器為多線程軟件引進(jìn)了真實且基于硬件層級的并發(fā)功能，而在開發(fā)編程中非常難偵測并解決潛在缺陷。盡管在極端情況下，可以向單一線程操作系統(tǒng)中強制施加安全關(guān)鍵性代碼，但是效率卻非常低。選擇適當(dāng)?shù)牟l(fā)程序設(shè)計和正確的工具可以使得多核處理器上編程的風(fēng)險較低。

傳統(tǒng)單元測試與多核并發(fā)編程比較

一般來說，單元測試假設(shè)為單線程操作系統(tǒng)——為預(yù)計輸出提供輸入和輸出檢查。在多線程編程中，“單元”之間的關(guān)系復(fù)雜，正確的測試方法是需要優(yōu)先考慮的因素。多核平臺加入了真實的硬件并行行，這就意味著線程是真實并行運行的。此外，事件在系統(tǒng)中的計劃和調(diào)度變得不確定，因為指令交錯在可用的處理器內(nèi)核(或者超線程CPU線程)中。下圖顯示了從兩個指令和兩個線程到三個指令與兩個線程之間交錯的復(fù)雜性。根據(jù)安全關(guān)鍵程度，這可能會被禁止。如果不禁止，那么就意味著需要特別小心，以確保正確操作。

這種復(fù)雜性顯著增加了測試的工作量、缺陷的風(fēng)險度和脆弱性。幸運地是，靜態(tài)分析工具可以幫助檢測數(shù)據(jù)訪問沖突情況和同步缺陷，這些在單元測試和次級單元測試中都很難被探測出來。

靜態(tài)分析，偵測并發(fā)問題

靜態(tài)分析工具創(chuàng)建分析軟件的內(nèi)部表征(IR)，以推理出預(yù)計的行為。作為這種推理的一部分，它可以偵測可能會超越傳統(tǒng)測試技術(shù)的沖突情況和并行性問題。GrammaTech CodeSonar可以偵測出多線程并行應(yīng)用程序中的以下復(fù)雜缺陷：

----數(shù)據(jù)沖突：當(dāng)兩個線程都訪問一個共享數(shù)據(jù)，且沒有清晰且正確的同步時，會出現(xiàn)數(shù)據(jù)沖突。這種錯誤會導(dǎo)致系統(tǒng)處于不穩(wěn)定狀態(tài)，可能會偶爾隨機出現(xiàn)。

----死鎖：當(dāng)單線程通過同步機制訪問共享資源，但沒有為其它線程訪問釋放時，就會出現(xiàn)死鎖。這通常是由于同時采用了多種同步機制(鎖定一個資源后再鎖定第二個，但仍然處于等待狀態(tài))。

----進(jìn)程饑餓現(xiàn)象：當(dāng)線程被阻塞在一個同步對象上很長一段時間時，就會發(fā)生饑餓現(xiàn)象(starvation)。在實時軟件中，這會影響系統(tǒng)運行，或觸發(fā)監(jiān)視警告。

----不當(dāng)同步：濫用線程同步源語，例如缺失鎖定或解鎖對導(dǎo)致不可預(yù)測的系統(tǒng)行為。CodeSonar能探測到軟件中的多種鎖定和解鎖亂用。

安全與保安的影響

并發(fā)錯誤和不當(dāng)線程行為對于開發(fā)者進(jìn)行偵測、診斷和修復(fù)來說是一個令人頭疼的問題。由于這些錯誤會對系統(tǒng)行為產(chǎn)生重大影響，因此，它們會產(chǎn)生巨大的安全與保安風(fēng)險。在極端情況下，真正的并發(fā)編程會由于安全問題(會采用上述分區(qū)來處理)受到禁止。然而，利用真正并發(fā)會帶來性能優(yōu)勢，這兩者是并行的。采用時，需要加倍小心。

靜態(tài)分析工具為測試安全關(guān)鍵性系統(tǒng)提供獨一無二的好處，因為他們不依靠測試用例(反過來，這可能有缺陷)，并且解決傳統(tǒng)系統(tǒng)測試無法解決的問題。在部署的任務(wù)關(guān)鍵型軟件中，在部署前可能沒有發(fā)現(xiàn)的嚴(yán)重并行缺陷，使用CodeSonar會發(fā)現(xiàn)并解決。

由于潛在的影響，利用并發(fā)漏洞是一個慎重的考慮。觸發(fā)并發(fā)錯誤會導(dǎo)致系統(tǒng)不穩(wěn)定和拒絕服務(wù)，甚至更糟。如同所有其它的潛在缺陷一樣，如果存在威脅向量，需要按照正確的優(yōu)先級進(jìn)行處理和響應(yīng)，那么并發(fā)錯誤可能也是安全缺陷。

總結(jié)：

傳統(tǒng)測試往往忽視并發(fā)問題，只到系統(tǒng)測試階段才會發(fā)現(xiàn)，或者完全遺漏——此時已經(jīng)太遲、太危險，也太過于昂貴了。在安全性系統(tǒng)中，這就意味著大量的返工和重新測試，因為驗證環(huán)境意味著高額成本。GrammaTech CodeSonar在早期，即開發(fā)代碼時，通過系統(tǒng)行為分析，無須大量的測試，即可檢測這些問題，降低風(fēng)險，節(jié)約成本。