Python虚拟机本地代码的安全性实证研究

Python语言及生态是机器学习等人工智能系统的重要基础,已成为目前主流机器学习框架如TensorFlow,PyTorch,Caffe,CNTK等的首选实现语言。Python虚拟机本身的安全性和可靠性对这些机器学习框架的安全性提供了基础保障,但Python虚拟机CPython内部包含大量由C/C++构建的本地代码,其安全漏洞模式尚未被充分研究和理解,系统的漏洞分析和修复技术也亟待研究。为此,提出了一个对Python虚拟机本地代码的分析研究框架PyGuard,该框架使用静态程序分析技术对虚拟机中的本地代码进行安全性扫描和分析;利用该框架对Python语言的官方虚拟机CPython进行了安全性实证研究,实验结果发现了最新版本的虚拟机(Cpython 3.9)中45个安全漏洞,表明了该框架对实际Python虚拟机本地代码安全性分析的有效性;基于该框架和安全性进行了实证分析,分析了虚拟机本地代码中的安全漏洞模式,给出了对安全漏洞的修复建议。