莱斯定理告诉我们程序的每一个非平凡性质都是不可判定的，那么静态分析又是如何绕过这一问题来回答「这个程序是否存在安全漏洞」的呢？

如果你对区块链技术感兴趣的话，可能听说过很多攻击者利用程序代码中的漏洞而导致的大量资金被盗事件。例如，2016 年臭名昭著的 DAO 攻击事件，攻击者利用一个名叫「重入」的漏洞超额提取了他们原本所能提取的资金。另一个更近期的事件是闪电贷攻击，发生于 2022 年 4 月 17 日，造成 1.82 亿美元的资金损失。虽然所有攻击都源于底层源代码的安全漏洞，但好消息是现在已经有能够检测此类漏洞的程序分析技术。在接下去的几篇博文中，我们会解释程序分析是什么，以及它如何帮助在部署前捕获安全漏洞。

程序分析指的是一类用于检测程序中安全漏洞的技术。程序分析有两种主要形式，动态和静态。动态程序分析的目标是通过执行程序来检测问题，而静态程序分析则无需运行程序本身就可以对源代码进行分析。然而，在这些技术之中，只有静态分析能够确保程序中不存在漏洞。相反，不同于静态分析，动态分析能证明问题的存在，它并不能够证明漏洞并不存在。

乍一看，静态分析听起来似乎很神秘：表面看来，静态分析似乎违反了一个被总结为莱斯定理「Rice's theorem」的基本原则，该定理声称程序的每一个非平凡性质都是不可判定的。在此，语义属性是关于程序行为的属性（与语法属性不同），而非平凡性质是指只有某些程序拥有而其他程序没有的性质。与我们手头话题更相关的是，安全漏洞的存在是非平凡性质的一个典型例子。因此，关于「这个程序是否存在安全漏洞」这一问题，莱斯定理告诉我们没有一个算法能够终结并准确回答这一问题。

那么，静态分析的可行性源自哪里呢？答案藏于以下的观察：没错，没有一个算法能够准确地给出是或否，但可以有一个算法在程序有安全漏洞时总是会回答「是」，在程序没有安全漏洞时算法有时可能也会回答「是」。换句话说，只要我们愿意容忍一些误报，我们就可以绕过赖斯定理和不可判定性。

让我们以高一维度的视角来看看静态分析是如何运作的。静态分析的基本原理是将程序所处的状态集合进行过近似「over-approximate」。我们将程序状态视为从变量到值的映射。一般来说，不存在一个算法能够明确也许是执行某一程序引起的确切程序状态集。但可以近似该集合，如下图所示：