在信息安全研究领域与工程实践中软件系统安全占有很重要的地位，这是显而易见的，软件中的程序是由程序设计人员编写的，人是编码活动的主体，不同编码人员 的主体差异性很大，安全编码意识与经验存在很大不同，即使在同一个项目团队中，这个问题很值得反思探究，有同仁会说，安全软件研发过程中要有团队安全编码 规范，咱先不考虑这句话在国内的执行情况如何？如果仅仅依赖它就能保证代码安全的话，微软就没必要为这方面烦恼了，经验与理论证明软件安全是永远的痛！有 了这方面的认识，应如何应对呢？常见的做法是增强安全编码意识，比如缓冲区溢出问题，在测试中有时是测不出来的，症状会在运行过程中与环境交互中显现出 来，有可能会形成安全事故，当然有这方面的面向语言的检测工具软件，但它就可信吗？我想提出一个观点：人是信息安全的主要因素，安全软件或软件安全只是一 个理想的境界，不可能有绝对的安全，如何能提升信息安全的研究与实施力度来帮助相关人员更容易的应付安全事件，保证信息系统的相对安全。
        信息安全专业教育起很大的作用，这是主力因素，另外应大力担升全民安全意识，从小的安全事件做起，现在程序设计语言本体也存在安全问题，比如有的语言中的 指针数据类型，指针被引入PDL中是语言发展的重大进步，这是毋庸置疑的，但负面效果也不少，给程序员的压力也很大，还有内存管理与分配方面（语言处理部 分）的安全处理问题，Java把指针内化也是一种明智之举，但JVM的安全压力就大了，这方面的博弈很有意思，安全语言的构建多数是扩展现有的传统语言，但嫁接的效果可 不可以，大家都在探索，还涉及标准兼容问题，这个方法是无奈的选择，并行语言的构建也有用这个方法的。
最后介绍一个面向安全语言（SOL）的一个研究小组，来自宾夕法尼亚大学的.

S e c u r i t y - O r i e n t e d   L a n g u a g e s

The SOL group at the University of Pennsylvania develops programming-language technology for improving software security. Specifically, we've been working on programming languages that allow programmers to specify advanced information-flow and access control security policies on data manipulated by the software.

Personnel:

Steve Zdancewic, Associate Professor
Limin Jia, Post Doc.
Karl Mazurak, Ph.D. Student
Jeff Vaughan, Ph.D. Student
Jianzhou Zhao, Ph.D. Student
Luke Zarko, Undergraduate Student

Alumni:

Stephen Tse, Ph.D. Student (Now at Google)
Peng Li, Ph.D. Student (Now at Google)
Joey Schorr, Masters Student (Now at Google)

Software Projects:

• AURA - A language with authorization and audit
• Apollo - An experimental programming language for expressive information-flow security policies.
• Fjavac - A Java 5 compiler implemented in the functional language OCaml.
• Flowarrow - Example code for creating secure embedded languages in Haskell.

Papers

Related Projects:

Manifest Security at U. Penn. and CMU
The Grey Project at CMU.
SELinks at U. Maryland, College Park
Jif at Cornell University.
FlowCaml at INRIA.
Polymer at Princeton.
Cryptyc at DePaul University.
Related papers

Funding:

This research has been supported in part by the following grants. Any opinions, findings, and conclusions or recommendations expressed in this material are those of the author(s) and do not necessarily reflect the views of the National Science Foundation.
    - NSF CCR-0311204: Dynamic Security Policies
    - NSF CNS-0346939: CAREER: Language-based Distributed System Security
    - NSF CNS-0524059: Resource-guided Implementation of Secure Embedded Software
    - NSF CCF-0524035: Flexible, Decentralized Infomation-flow Control for Dynamic Environments
    - NSF CCF-0716469: Manifest Security
    - ONR: TIME-DC

---

SOL   |   University of Pennsylvania   |   Computer and Information Science Department

转载本文请联系原作者获取授权，同时请注明本文来自黄富强科学网博客。
链接地址：https://blog.sciencenet.cn/blog-89075-240039.html

上一篇：微软把函数编程语言（F＃）引入到主流.NET企业平台中
下一篇：人工智能引发的哲学思考