-
题名WebAssembly安全综述
- 1
-
-
作者
庄骏杰
胡霜
华保健
汪炀
潘志中
-
机构
中国科学技术大学软件学院
中国科学技术大学苏州高等研究院
-
出处
《计算机研究与发展》
EI
CSCD
北大核心
2024年第12期3027-3053,共27页
-
基金
国家自然科学基金项目(62072427,12227901)
中国科学院稳定支持基础研究领域青年团队计划项目(YSBR-005)
中国科学技术大学学术带头人培养项目。
-
文摘
WebAssembly是一种新兴的二进制指令集体系结构与代码分发格式,旨在为高级程序语言提供统一且架构无关的编译目标.由于其安全、高效与可移植等先进特性,WebAssembly在Web领域与非Web领域均得到了广泛应用,正在成为最有前景的跨平台公共语言标准之一.尽管WebAssembly提供了多种先进特性以保证安全性,然而,已有研究表明,WebAssembly仍然存在特有的攻击面从而导致安全问题,这些安全问题直接影响到基于WebAssembly的整个软件系统生态.因此,对WebAssembly安全问题的产生机理、现有解决方案以及亟待解决的科学问题展开系统研究尤为重要.基于WebAssembly安全研究领域已经公开发表的42篇研究论文,对WebAssembly安全的相关研究进行了系统研究、分析、归纳和总结:首先,研究分析了WebAssembly的核心安全特性,并在此基础上首次提出了WebAssembly的4层安全威胁模型,包括高级语言支持、编译工具链、二进制表示和语言虚拟机,并对每一层的安全威胁和攻击面进行了详细讨论;其次,提出了WebAssembly安全研究的分类学,将已有研究划分为安全实证研究、漏洞检测与利用、安全增强、形式语义与程序验证4个热点研究方向,并对这4个方向分别进行了综述、分析和总结;最后,指出了该领域待解决的科学问题,并展望了5个潜在的研究方向.
-
关键词
WebAssembly
语言安全
漏洞检测与利用
安全增强
形式化验证
-
Keywords
WebAssembly
language security
vulnerability detection and exploitation
security enhancement
formal verification
-
分类号
TP312
[自动化与计算机技术—计算机软件与理论]
-
