【51CTO.com原創(chuàng)稿件】隨著互聯(lián)網(wǎng)行業(yè)的飛速發(fā)展，IT從業(yè)者成為了一個(gè)備受關(guān)注的群體，“程序猿”、“碼農(nóng)”、“攻城獅”這些綽號(hào)中多少都帶著些許的自嘲味兒，因?yàn)殡S著年齡的增長，他們面臨著越來越窄的職業(yè)上升通道，在我國，似乎很少看到40歲以上的程序員，35歲成為了IT從業(yè)者的一道坎。

劉新銘先生，鑒釋科技聯(lián)合創(chuàng)始人兼首席架構(gòu)師，有著約30年的IT從業(yè)經(jīng)歷，從敲代碼做編譯器，到管理工作，從risk architecture開始，從大電腦到小電腦，到手機(jī)，到物聯(lián)網(wǎng)，再到超大型的云計(jì)算，可以說劉新銘先生參與了信息科技的整個(gè)發(fā)展過程。

[[391096]]

鑒釋科技聯(lián)合創(chuàng)始人兼首席架構(gòu)師  劉新銘

經(jīng)過了十余年的一線開發(fā)工作和十余年的管理工作，劉新銘先生選擇了創(chuàng)業(yè)。“創(chuàng)業(yè)有兩個(gè)目的，一是繼續(xù)做創(chuàng)新的事業(yè)，二是想要找對(duì)的人，培訓(xùn)好，然后組織一個(gè)高效能的團(tuán)隊(duì)。創(chuàng)業(yè)是希望為員工服務(wù)，讓所有員工的潛能發(fā)揮到極致。”劉新銘先生表示。

創(chuàng)立鑒釋科技的初衷：發(fā)現(xiàn)bug，修改bug

軟件無處不在，當(dāng)今軟件已經(jīng)滲透到了我們的工作、生活、娛樂的方方面面，軟件正在改變世界。客觀的說，所有的軟件都存在或大或小的問題。據(jù)統(tǒng)計(jì)，每1000行代碼就會(huì)至少有一個(gè)bug，存在安全問題；每1400行就會(huì)有嚴(yán)重的安全問題。在80年代，一個(gè)大的軟件約有1萬行的代碼，90年代是幾十萬行，2000年之后是百萬行，現(xiàn)在是千萬行。也就是說當(dāng)今千萬級(jí)的軟件會(huì)有約100個(gè)bug，這些bug往往不會(huì)被發(fā)現(xiàn)，而是等被黑客攻擊的時(shí)候才被發(fā)現(xiàn)。

鑒釋科技要做的事情就是主動(dòng)發(fā)現(xiàn)這些bug。劉新銘先生解釋說，這些問題其實(shí)都是在軟件開發(fā)的過程中，思考的不夠周密，對(duì)接的不夠流暢。所以一個(gè)好的環(huán)境要容錯(cuò)，容錯(cuò)的同時(shí)要能夠自動(dòng)糾正錯(cuò)誤，這正是鑒釋科技要做的事情。

把靜態(tài)代碼分析做到極致

目前，軟件應(yīng)用安全測(cè)試主要有三種方式：動(dòng)態(tài)代碼分析、靜態(tài)代碼分析、交互代碼分析。靜態(tài)代碼分析是在不實(shí)際執(zhí)行程序的情況下，對(duì)代碼語義和行為進(jìn)行分析，由此找出程序中由于錯(cuò)誤的編碼導(dǎo)致異常的程序語義或未定義的行為。通俗的說，靜態(tài)代碼分析就是在代碼編寫的同時(shí)就能找出代碼的編碼錯(cuò)誤。靜態(tài)代碼分析不需要等待所有代碼編寫完畢，也不需要構(gòu)建運(yùn)行環(huán)境，編寫測(cè)試用例。它能在軟件開發(fā)流程早期就發(fā)現(xiàn)代碼中的各種問題，從而提高開發(fā)效率和軟件質(zhì)量。

愛科識(shí)是鑒釋科技的用于靜態(tài)代碼掃描（SAST）的下一代源代碼分析工具，使用深層的編譯器級(jí)別技術(shù)來檢查數(shù)據(jù)流，分析軟件應(yīng)用程序，從而提高缺陷檢測(cè)的準(zhǔn)確性。

愛科識(shí)通過集成到軟件開發(fā)過程中，為企業(yè)提高生產(chǎn)效率。通過分析識(shí)別可能導(dǎo)致缺陷的源代碼，避免內(nèi)存污染、核心轉(zhuǎn)儲(chǔ)、緩沖區(qū)溢出、非法操作，以及空指針等問題的出現(xiàn)。愛科識(shí)的算法主要包括數(shù)據(jù)流分析、控制流分析、上下文敏感度分析、對(duì)象敏感度分析、跨程序分析，以及跨文件分析。同時(shí)， 它最大限度地減少了誤報(bào)的數(shù)量，以確保調(diào)試的效率。

劉新銘先生對(duì)此進(jìn)行了深入淺出的講解：軟件的bug往往出現(xiàn)在“跨界”的時(shí)候，如從一個(gè)函數(shù)跳到另一個(gè)函數(shù)，從一個(gè)模塊跳到另外一個(gè)模塊。如果檢測(cè)不好互動(dòng)的問題，不能準(zhǔn)確的判斷執(zhí)行的狀態(tài)，就無法得到準(zhǔn)確的數(shù)據(jù)，也就無法精準(zhǔn)的分析出來哪個(gè)地方可能會(huì)有安全隱患。這種跨函數(shù)的賦值追蹤，是鑒釋科技靜態(tài)代碼分析工具的最大優(yōu)勢(shì)。

未來會(huì)做更加專業(yè)的交互式代碼分析

靜態(tài)代碼分析的弊端在于隨著現(xiàn)代軟件系統(tǒng)規(guī)模越來越大，系統(tǒng)復(fù)雜度也越來越高，從傳統(tǒng)的單機(jī)系統(tǒng)變?yōu)榉植际较到y(tǒng)，同構(gòu)系統(tǒng)變?yōu)楫悩?gòu)系統(tǒng)，而且軟件開發(fā)的編程語言也從使用單一的語言發(fā)展為多種語言協(xié)同開發(fā)。這些變化都對(duì)靜態(tài)代碼分析工具帶來了巨大挑戰(zhàn)。“不能把所有的源代碼都拿到”是靜態(tài)代碼分析工具面臨的最大挑戰(zhàn)。

劉新銘先生透露，交互式的代碼分析工具將是鑒釋科技未來發(fā)展的一個(gè)方向。交互式的代碼分析工具就是在與庫對(duì)接的地方，建一個(gè)防火墻，做各種檢測(cè)：“拿進(jìn)來的東西是否符合規(guī)格，送出去的東西是否符合公司的規(guī)范，資訊是否有泄露。”當(dāng)然，交互式也不一定是完善的，因?yàn)槿绻烙龅臉O端的嚴(yán)謹(jǐn)，就會(huì)變的封閉起來，太松的話又起不到安全防御的作用。鑒釋科技下一步的目標(biāo)就是“要明確的知道哪個(gè)地方可以松一點(diǎn)，哪個(gè)地方需要緊一點(diǎn)，該松的地方松，該緊的地方緊，這樣才能實(shí)現(xiàn)順暢的互動(dòng)。

讓軟件開發(fā)更高效

回到開篇所說的工程師環(huán)境，除了必要的代碼分析工具，企業(yè)文化也是非常重要的一環(huán)。當(dāng)今中國大部分企業(yè)的架構(gòu)是負(fù)責(zé)軟件開發(fā)的人員是開發(fā)工程師，負(fù)責(zé)測(cè)試的人員是測(cè)試工程師，開發(fā)和測(cè)試是分開的。大部分的開發(fā)人員都不會(huì)去測(cè)試自己寫的代碼，這樣的工作方式導(dǎo)致了開發(fā)和測(cè)試的割裂，在尋找和修改bug的工作上浪費(fèi)了很多時(shí)間和精力。如果開發(fā)和測(cè)試工作相結(jié)合，即開發(fā)工程師在寫完代碼后就自己先進(jìn)行測(cè)試，由于開發(fā)者更加熟悉自己寫的代碼，所以這樣的工作方法會(huì)更加高效。 “希望鑒釋科技未來會(huì)改變這種現(xiàn)狀，讓中國企業(yè)的軟件開發(fā)變得更高效！”劉新銘先生表示。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】