我阅读了Fortify静态检查工具的一些文档。该工具使用的一个概念被称为taints。某些来源(例如Web请求)提供的数据在一个或多个方面上都是不可信的,而某些汇(例如Web响应)需要数据是可信的。
Fortify的好处在于可以有几种类型的taints。例如,您可以使用 NON_CRYPTO_RAND 标记 srand 输出,然后要求在用于加密目的时不存在这种taint。其他示例包括未经绑定检查的数字等。
在Haskell或其他使用更复杂类型系统的编程语言中是否可能使用更强的静态类型系统对taints进行建模?
在Haskell中,我可以定义这样的类型:Tainted [BadRandom,Unbounded] Int,但与它们一起计算似乎非常困难,因为这种新类型也会限制不限制taints的操作。
是否有更好的方法来完成这项工作?是否有关于此主题的任何现有工作?
StaticArrow),因此在运行时检查信息流策略(即如果您尝试访问未被允许访问的值,则会发生运行时错误)。IO包装器,因此他们的系统再次不是完全静态的。正如您在评论中提到的那样,这里问题的源头似乎是不同标记的单子不兼容。IO。其中一个结果是这个;也许这种修改可以作为一个有用的实验(尽管我没有进行任何真正的测试)。{-# LANGUAGE EmptyDataDecls #-}
{-# LANGUAGE GeneralizedNewtypeDeriving #-}
{-# LANGUAGE TypeOperators #-}
module Taint ( (:+), srand, BadRandom, Unbounded, Tainted (), (<+>)) where
import Control.Applicative
import Control.Monad.Identity
data a :+ b
data BadRandom
data Unbounded
newtype Tainted taint a = Tainted { clean :: Identity a }
deriving ( Functor, Applicative, Monad )
(<+>) :: Tainted t1 (a -> b) -> Tainted t2 a -> Tainted (t1 :+ t2) b
Tainted (Identity f) <+> Tainted (Identity x) = Tainted (Identity (f x))
srand :: IO (Tainted BadRandom Int)
srand = undefined
由于 clean 没有被导出,因此使用 srand 的用户无法删除 Tainted 标记。此外,您可以使用“伪Applicative”应用函数 (<+>) 来合并污点。我们也可以轻松地为“伪Monad”接口制作类似的组合器:
(>>-) :: Tainted t1 a -> (a -> Tainted t2 b) -> Tainted (t1 :+ t2) b
Tainted (Identity a) >>- f = let Tainted (Identity b) = f a in Tainted (Identity b)
Identity 的目的是通过 {-# LANGUAGE GeneralizedNewtypeDeriving #-} 来窃取 Identity 的 Monad 和 Applicative 实例吗? - Cirdec
IO单子模拟了与真实世界交互的最严重的污染。你可以创建一个类似于MonadIO的MonadTaint类型类,然后将你的BadRandom和Unbounded类型作为它的实例。 - cdkIO采用的方法。另一种是只接受在构造函数中的数据,并要求使用特殊方法将其放入。Haskell对后者提供了更多支持,包括类型类支持。与其展示一个值不适合某个目的(不足够随机),然后在使用它之前未能展示它不适合该目的(不足够随机),您可以展示它足够随机并要求相同。 - Cirdec