Haskell与幸福栈安全

Question

我目前正在研究Haskell作为安全web开发平台的问题。我倾向于在web框架部分使用粒子堆栈，但我也在研究yesod和snap。

我的直觉是，语言的工作方式(特别是完全纯洁性和强大的静态类型系统的结合)使它成为一个非常好的选择，从安全性的角度来看，框架本身通过消除其他堆栈中的典型安全问题和陷阱而宣称是非常安全的。

但是，我还没有找到任何资源来支持这一假设，所以我正在寻找的是关于Haskell工具链(特别是GHC和GHC RTS)和上述web框架的安全方面的安全报告、研究论文，甚至非正式文档。

是否有人对其中任何一项进行过安全审核？是否有任何书面的理论或实践证明，这些工具的稳健性和健全性？是否有任何高知名度的网站或应用程序运行在这两个框架上，他们的安全记录是什么？

Answer 1

这与你所要求的有些不同，但你可能会对此感兴趣：

如果您喜欢研究论文，您可能喜欢阅读以下论文，该论文使用Haskell提供有关web应用程序的某些安全保证：

• 通过强类型实现应用程序完整性的静态实现。威尔·罗伯逊乔瓦尼·维尼亚。Usenix安全，2009年。

并请参阅用户/网络项目，它是一种用于web编程的功能语言和相关系统。函数式语言被用来为最终的web应用程序提供强大的安全保证，并帮助web开发人员避免web应用程序中的安全问题。如果您正在寻找研究论文，请参阅以下学术论文(警告:它们正在进行中)：

• 数据库支持应用程序中动态变化安全策略的静态检查。亚当·奇利帕拉。OSDI 2010。
• 具有类型级记录计算的静态类型元编程。亚当·奇利帕拉。2010年PLDI。

您可能会发现从用户/网络教程开始比较容易，而不是上面的后两篇文章。