美國(guó)國(guó)防部開發(fā)出能夠發(fā)現(xiàn)軟件漏洞的電子游戲

 美國(guó)國(guó)防部似乎已經(jīng)找到了發(fā)現(xiàn)軟件代碼漏洞的新方法，就是將這些轉(zhuǎn)化為一系列游戲和謎題，并讓志愿者來完成這些游戲，以期發(fā)現(xiàn)軟件漏洞。讓玩家去發(fā)現(xiàn)代碼存在的問題，能夠幫助工程師降低工作負(fù)擔(dān)——斯坦福國(guó)際研究所（SRI International）計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室的程序主管John Murray如是說。這個(gè)實(shí)驗(yàn)室就幫助開發(fā)出了其中一款名為Xylem的游戲。

DARPA（美國(guó)國(guó)防部高級(jí)研究計(jì)劃局）已經(jīng)建起了一家名為Verigames的網(wǎng)站，里面提供了5款可在線上進(jìn)行的免費(fèi)游戲，類似Xylem這樣的還能在iPad上玩。Verigames比較類似于如SETI@homel這樣的全民線上項(xiàng)目，后者是借由用戶的電腦來發(fā)現(xiàn)天外來客信號(hào)的長(zhǎng)期計(jì)劃；又如Fold.it會(huì)邀請(qǐng)參與者進(jìn)行蛋白質(zhì)折疊的線上游戲。

這些游戲的設(shè)計(jì)方式是在用戶解決問題后，進(jìn)入更高一級(jí)的挑戰(zhàn)。實(shí)際上游戲過程是在生成程序注釋和數(shù)學(xué)證明，用以識(shí)別和確認(rèn)采用C語言或Java所寫的軟件存在的漏洞。軟件檢驗(yàn)的過程原本主要是由工程師核查代碼，發(fā)現(xiàn)可能被黑客利用的錯(cuò)誤和漏洞，整個(gè)過程比較緩慢耗時(shí)。

DARPA就是希望將這項(xiàng)工作以游戲的形式表現(xiàn)出來，不僅有趣、具有足夠的交互性，而且會(huì)有許多人一起進(jìn)行這項(xiàng)工作，達(dá)到更高的效率。DARPA的材料中寫道，這個(gè)想法就是要將復(fù)雜的數(shù)學(xué)問題轉(zhuǎn)為有趣的解謎游戲。Murray解釋說一款軟件程序的大量分析就是由自動(dòng)測(cè)試程序?qū)嵤┑模顺绦蚩蓪?duì)存在疑問的部分做標(biāo)記。

“我們能夠?qū)⑦@些需要進(jìn)一步分析的小篇幅代碼段落轉(zhuǎn)為具體的參數(shù)，生成相應(yīng)的謎題。”Murray說，如緩存溢出或缺陷導(dǎo)致的特權(quán)提升等類型的漏洞，都可轉(zhuǎn)為謎題的形式。比如Xylem游戲，用戶在其中探索一個(gè)從未見過的熱帶島嶼，并且需要查探島上不同尋常的植物，這些實(shí)際上就代表著代碼的一部分。還有一款游戲名為CiruitBot，用戶需要將機(jī)器人組隊(duì)執(zhí)行任務(wù)。Flow Jam游戲則要求用戶分析和調(diào)整有線網(wǎng)絡(luò)，并將其吞吐量達(dá)到最大化。

由于政府有關(guān)參與者的相關(guān)規(guī)定，超過18周歲的用戶才可進(jìn)行這些游戲。以后，DARPA還希望建起游戲社區(qū)，以期讓軟件錯(cuò)誤變得更少。目前的游戲都是針對(duì)開源軟件進(jìn)行的排錯(cuò)，而這些軟件的使用者正是國(guó)防部和其他政府部門與商業(yè)組織。在通過游戲發(fā)現(xiàn)錯(cuò)誤后，國(guó)防部就會(huì)通知軟件開發(fā)者所發(fā)現(xiàn)的問題。