ae text decode on video star | districtseoul
麻省理工学院的研究人员开发了一种软件,代表了在流行的Web应用程序框架Ruby on the Rails中编写的程序的安全性突破。
在使用Ruby on Rails编写的50个Web应用程序上进行测试时,该软件确定了23个错误,而不需要花费超过63秒来检查任何单个应用程序。这种新形式的静态分析使用逻辑而非编程语言分析信息如何流经程序,从而实现快速搜索和易于理解的结果。
“当你看到像Ruby on Rails这样的语言编写的Web应用程序时,如果你尝试进行传统的静态分析,你通常会发现自己陷入了这种巨大的沼泽,”电气工程系教授丹尼尔杰克逊说。和计算机科学在麻省理工学院新闻的声明中。 “这使得它在实践中变得不可行。”
但由于Ruby on Rails依赖于单个库来定义语言中的每个属性,因此麻省理工学院的研究人员能够将整个语言翻译成机器可读的逻辑代码。因此,软件使用逻辑语言解释程序中的信息流,并报告其工作原理的简单逐行描述。凭借一点专业知识,这些读数指向程序的某些区域,这些区域可能允许未经授权的用户访问他们无法看到的信息。
考虑到Ruby on Rails的普及,新软件可以在抑制各种应用程序和网站的数字安全性方面发挥作用。第一次测试的显着成果肯定反映了许多(如果不是大多数)商业计划的当前弱点。
Ruby on Rails的强大调试过程甚至可以帮助说服程序员为未来的项目选择Ruby。很明显,我们有一个严重的问题,现在我们才弄清楚如何诊断它。
麻省理工学院表示,研究人员将于5月14日至22日在德克萨斯州奥斯汀召开的国际软件工程大会上展示他们的研究成果。