hey~yoyo~这里是工程师的freestyle~
2020年12月20日 RT-Thread开发者大会即将登场,现场将设立编程能力擂台赛活动。鉴释作为RT-Thread战略合作伙伴,双方将合作在大会现场设立编程能力擂台赛——谁能识别出最多的代码Bug !
2020 RT-Thread开发者大会时间地点如下:
2020年12月20日(周日)9:00——17:00
深圳大中华喜来登酒店6楼
编程能力擂台赛——谁能识别出最多的代码Bug 说明:
凡是参加本次大会的开发人员都有机会参与擂台赛,名额有限,先到先得!
我们会在现场准备几段含有Bug的C/C++ 代码,供大家捉虫子
参与者先通过人工检查代码,识别Bug数量,然后通过工具爱科识扫描同段代码,展示扫描结果,对比与人工识别的Bug数量
人工识别Bug数量越多的即为优胜同学
每人时间10-15分钟
无需自带设备
主办方保留修改擂台赛规则权力
优胜的同学们还将获得由鉴释提供的神秘奖品哦!
长按识别右侧二维码
立即报名
那到底什么样的代码会被判定为是有bug呢?鉴释专家列举如下规则:
[MSF] 没有释放
概要
该程序已分配了堆内存,但未能释放那块内存。
解释
分配了堆内存并且分配的内存地址存储在引用(指针)类型的变量里。该堆内存在其生命周期实际结束后从未被释放。然而,其对应的引用仍然指向该内存空间。这可能会导致敏感数据泄漏或意外程序行为(例如拒绝服务)。
[NPD] 空指针解引用
概要
该程序正通过有空值的指针访问内存。这可能会导致段错误或不可预测的程序行为。该漏洞与EXP34-C等同
解释
在有内存保护的系统里(例如Linux),解引用空指针会导致段错误。对于嵌入系统来说,它会造成不可预测的程序行为。在Java里,空指针解引用会触发空指针异常。
[AOB] 数组越界
概要
该程序正在预期缓存的已声明的界限外(界限之前或之后)访问数据。
解释
通常情况下,这会允许攻击者在程序执行期间造成程序崩溃。当代码从其他内存位置读取敏感数据或可疑数据量并假定存在前哨来阻止读操作时(例如字符串里的空值),可能会发生崩溃。预期的前哨可能不位于越界内存里,致使读取过量数据,从而导致段错误或缓存溢出。软件可能修改引用在缓存界限之外的内存位置的索引或执行指针运算。随后的读运算便会产生未定义或意外结果。
[DBF] 资源被多次释放
概要
该程序已多次释放了某些资源(例如,堆内存、I/O流对象等)。
解释
该程序已多次调用了像free()、close()这样的函数来释放同一个资源对象。这会导致不一致的系统,例如系统的堆管理数据结构或I/O流子类等的损坏。这从而可能允许恶意用户访问任意内存或造成IOException。
[DBZ] 被零除
概要
该程序正试图将值除以零。
解释
当把意外的常数零赋值给除数,或者发生了未适当检测到的错误(例如函数调用的返回值)时,这可能会发生。
在大会现场本擂台赛中可让小伙伴们体验手动识别代码Bug VS 工具自动扫描识别Bug之间的不同,亲身体验工具是如何帮助开发者解放生产力、提升代码安全、确保软件质量。
由于篇幅原因没有放出每个规则的对应示例。相关示例,建议查看:https://club.rt-thread.org/ask/article/2389.html
在参加擂台赛之前记得好好理解上述的规则哦。
心动不如行动,赶紧来报名吧!我们希望在擂台赛看到你的身影。
长按识别右侧二维码
立即报名
当然如果你在比赛环节之后希望对鉴释的静态代码分析工具——爱科识有进一步的了解,现场还有技术人员为大家展示产品,答疑解惑。
鉴释的创始团队拥有丰富的国内、国外业务经验。他们曾服务于多家大型国际企业,专业涵盖了软件开发、编译器技术和业务运营等多个领域。鉴释始终将客户的利益置于首位。基于中国开发人员的需求与痛点,自主研发出更简便易操作的软件,旨在为用户提高更高效、更安全的解决方案。
爱科识是基于静态代码扫描(SAST)的下一代源代码分析工具。它使用深层的编译器级别技术来检查数据流,分析软件应用程序,从而提高了缺陷检测的准确性。
你可以添加微信17775982065为好友,注明:公司+姓名,拉进 RT-Thread 官方微信交流群!
RT-Thread
让物联网终端的开发变得简单、快速,芯片的价值得到最大化发挥。Apache2.0协议,可免费在商业产品中使用,不需要公布源码,无潜在商业风险。
长按二维码,关注我们
点击阅读原文报名开发者大会
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
