如今，軟件安全是重中之重。任何的安全漏洞都不能被忽視——尤其是開發(fā)嵌入式系統(tǒng)軟件時(shí)，您的代碼必須安全可靠，且沒(méi)有編碼錯(cuò)誤。

提及軟件安全，您可能想到的是密碼和訪問(wèn)控制，或者是病毒、欺騙攻擊（spoofing）和網(wǎng)絡(luò)釣魚攻擊，這些是常見(jiàn)的安全問(wèn)題。而數(shù)據(jù)加密和身份驗(yàn)證協(xié)議等安全功能可以緩解這些漏洞。

但即使已經(jīng)實(shí)施了這些安全功能，軟件仍可能受到攻擊。

為確保軟件安全，您需要從源頭——代碼層面——進(jìn)行著手。否則，編碼錯(cuò)誤將會(huì)危及您的應(yīng)用程序。

編碼錯(cuò)誤危及軟件安全

據(jù)軟件工程研究所（SEI）估計(jì)，高達(dá)90%的已報(bào)告安全事件是源于軟件代碼或設(shè)計(jì)中的漏洞被利用。這些漏洞使黑客能夠訪問(wèn)私人數(shù)據(jù)或未經(jīng)授權(quán)的控制系統(tǒng)。

可見(jiàn)，一個(gè)簡(jiǎn)單的編碼錯(cuò)誤就可能引發(fā)黑客攻擊威脅——黑客可能會(huì)控制您的計(jì)算機(jī)、智能家居設(shè)備、家庭娛樂(lè)設(shè)備甚至是汽車。更糟糕的是，黑客甚至可能控制核電站。

安全漏洞示例：C語(yǔ)言中的緩沖區(qū)溢出

為說(shuō)明這種情況可能如何發(fā)生，我們來(lái)看一個(gè)例子。緩沖區(qū)溢出是C語(yǔ)言編程中常見(jiàn)的安全漏洞。

當(dāng)數(shù)據(jù)被寫入到已分配內(nèi)存的邊界之外時(shí)，就會(huì)發(fā)生緩沖區(qū)溢出。

為說(shuō)明這種情況可能如何發(fā)生，我們來(lái)看一個(gè)例子。緩沖區(qū)溢出是C語(yǔ)言編程中常見(jiàn)的安全漏洞。

延伸閱讀：什么是緩沖區(qū)溢出？如何防止緩沖區(qū)溢出漏洞？

例如：

char buff[10]; buff[10] = 'a';

此處聲明了一個(gè)10字節(jié)的數(shù)組（索引范圍0到9）。但程序隨后試圖向數(shù)組邊界外的一個(gè)字節(jié)寫入字符。若程序后續(xù)使用了數(shù)組相鄰的內(nèi)存區(qū)域，則會(huì)導(dǎo)致意外行為。

這已經(jīng)夠糟糕了，而情況可能會(huì)進(jìn)一步惡化——緩沖區(qū)溢出可能使黑客獲得系統(tǒng)控制權(quán)。

緩沖區(qū)溢出如何招致黑客攻擊？

黑客可以利用緩沖區(qū)溢出漏洞進(jìn)行攻擊，致使程序崩潰、數(shù)據(jù)損壞，或直接竊取信息。

程序運(yùn)行時(shí)會(huì)使用一塊稱為“?！钡膬?nèi)存區(qū)域。當(dāng)前執(zhí)行函數(shù)作用域內(nèi)的變量將存儲(chǔ)在棧中。函數(shù)調(diào)用的地址也會(huì)被存儲(chǔ)，以便返回語(yǔ)句能返回到正確的位置。

當(dāng)函數(shù)返回到調(diào)用函數(shù)時(shí)，程序?qū)纳洗沃袛嗟牡胤嚼^續(xù)執(zhí)行。因此，如果棧中的返回地址被篡改為指向某些惡意的替代指令，那么，這些指令將在函數(shù)返回時(shí)被執(zhí)行。

如果程序正在接收數(shù)據(jù)——且未設(shè)置檢查機(jī)制來(lái)確保輸入緩沖區(qū)不會(huì)溢出——那么就有可能設(shè)計(jì)一個(gè)包含惡意代碼的輸入或“有效負(fù)載”。這種惡意代碼會(huì)溢出輸入緩沖區(qū)，并將棧中的返回地址覆蓋為惡意代碼的地址。

預(yù)防安全漏洞至關(guān)重要

預(yù)防緩沖區(qū)溢出等安全漏洞至關(guān)重要。而實(shí)現(xiàn)這一目標(biāo)的方法，就是確保在編碼時(shí)就杜絕可被利用的漏洞。

畢竟，如果窗戶敞開著，加裝再堅(jiān)固的門鎖也毫無(wú)意義。因此，提高安全性的關(guān)鍵，就是確保代碼安全。

確保C語(yǔ)言代碼安全的四種方法

編寫安全的代碼至關(guān)重要。在C語(yǔ)言編程中，有四個(gè)關(guān)鍵信息來(lái)源可幫助您確保代碼安全。

1. CWE

您可以從通用缺陷枚舉（CWE）中識(shí)別安全弱點(diǎn)。

什么是CWE？

CWE是由社區(qū)開發(fā)的C語(yǔ)言常見(jiàn)軟件安全弱點(diǎn)列表，由MITRE公司維護(hù)。該列表可用作弱點(diǎn)識(shí)別、緩解和預(yù)防的基線。

CWE軟件安全弱點(diǎn)列表

CWE列表對(duì)弱點(diǎn)進(jìn)行了優(yōu)先級(jí)排序。其中的“Top 25”（前25）條是綜合了二十多個(gè)不同機(jī)構(gòu)的意見(jiàn)評(píng)選出來(lái)的。他們根據(jù)弱點(diǎn)出現(xiàn)的頻率和重要性對(duì)其進(jìn)行評(píng)估。CWE中列出的（C語(yǔ)言程序中的）許多弱點(diǎn)都與緩沖區(qū)溢出有關(guān)。

這份Top 25列表還附帶了一組有效的“強(qiáng)效緩解措施”。這些措施可幫助開發(fā)者減少甚至徹底消除Top 25中的整類安全弱點(diǎn)，同時(shí)也有助于應(yīng)對(duì)CWE列表中記錄的其他800多個(gè)弱點(diǎn)。

CWE致力于從源頭遏制漏洞，其實(shí)現(xiàn)方式是教育設(shè)計(jì)人員、程序員和測(cè)試人員如何在軟件發(fā)布前就消除常見(jiàn)錯(cuò)誤。

2. CERT C

您可以將CERT C編碼標(biāo)準(zhǔn)應(yīng)用于您的代碼。

什么是CERT C？

CERT C編碼標(biāo)準(zhǔn)由軟件工程研究所（SEI）的CERT部門發(fā)布。SEI是卡內(nèi)基梅隆大學(xué)運(yùn)營(yíng)的研發(fā)中心，它的資金主要來(lái)源于美國(guó)國(guó)防部和國(guó)土安全部。

CERT C安全規(guī)則

安全編碼專家會(huì)持續(xù)在維基平臺(tái)上完善CERT C指南。每項(xiàng)指南包括：

– 標(biāo)題

– 描述

– 不合規(guī)代碼示例

– 合規(guī)解決方案示例

該指南涵蓋編碼和實(shí)現(xiàn)錯(cuò)誤，以及低級(jí)設(shè)計(jì)錯(cuò)誤。其目標(biāo)是消除不安全的編碼實(shí)踐和可能導(dǎo)致漏洞的未定義行為。

CERT C將漏洞定義為：一組允許攻擊者違反明確或隱含安全策略的條件。

缺陷可能較為輕微，也可能不會(huì)影響軟件的性能或運(yùn)行結(jié)果，但它仍可能被攻擊者利用，從而導(dǎo)致重大的安全漏洞。

3. ISO/IEC TS 17961:2013 "C Secure"

您可以應(yīng)用ISO/IEC TS 17961:2013 “C Secure” 編碼規(guī)則。

什么是ISO/IEC TS 17961:2013？

ISO/IEC TS 17961:2013制定了一套編碼規(guī)則，這些規(guī)則使靜態(tài)代碼分析工具能夠診斷超出語(yǔ)言標(biāo)準(zhǔn)要求的不安全代碼。

C Secure編碼規(guī)則

ISO/IEC TS 179671:2013包含了C語(yǔ)言安全編碼的規(guī)則，每條規(guī)則都包含示例。

C Secure旨在制定可以自動(dòng)強(qiáng)制執(zhí)行的安全編碼規(guī)則，用于檢測(cè)C語(yǔ)言編程中的安全缺陷。要被視作安全缺陷，軟件漏洞必須能被惡意用戶或攻擊者的行為觸發(fā)。

實(shí)施這些規(guī)則的分析工具必須能夠有效發(fā)現(xiàn)安全編碼錯(cuò)誤，且不會(huì)產(chǎn)生過(guò)多的誤報(bào)。

4. MISRA C

您也可以使用MISRA來(lái)確保C語(yǔ)言的安全編碼。

什么是MISRA？

MISRA為安全相關(guān)系統(tǒng)的開發(fā)提供最佳實(shí)踐指南。其C語(yǔ)言編碼標(biāo)準(zhǔn)已被多個(gè)行業(yè)廣泛采用。

MISRA C 安全規(guī)則

MISRA C:2012 修訂版1于2016年發(fā)布。該版本為C語(yǔ)言編程提供了額外的安全指南，包括新的規(guī)則和指令，并附有合規(guī)和不合規(guī)的代碼示例。

這些指南可用于預(yù)防導(dǎo)致安全問(wèn)題和安全漏洞的編碼錯(cuò)誤。

為什么MISRA C安全規(guī)則是嵌入式系統(tǒng)的理想選擇？

MISRA C安全規(guī)則是嵌入式系統(tǒng)的理想選擇。這是因?yàn)镸ISRA C的安全性可與其它C語(yǔ)言安全編碼標(biāo)準(zhǔn)相媲美。此外，MISRA C在嵌入式系統(tǒng)行業(yè)中深受信賴，更是汽車行業(yè)首選的編碼標(biāo)準(zhǔn)。

MISRA C安全規(guī)則示例

MISRA C安全規(guī)則可防止編碼錯(cuò)誤和安全漏洞，例如緩沖區(qū)溢出。

以下是MISRA C安全規(guī)則的示例：

MISRA C 規(guī)則 18.1

“對(duì)指針操作數(shù)進(jìn)行算術(shù)運(yùn)算后得到的指針，其地址應(yīng)指向與該指針操作數(shù)相同的數(shù)組內(nèi)的元素?！?/p>

此規(guī)則與以下CERT C規(guī)則作用相同：

ARR30-C

“請(qǐng)勿創(chuàng)建或使用越界指針或數(shù)組下標(biāo)?！?/p>

兩者都與C語(yǔ)言中的多個(gè)CWE漏洞相關(guān)，其中之一是：

CWE-119：對(duì)內(nèi)存緩沖區(qū)邊界內(nèi)的操作限制不當(dāng)

“該軟件在內(nèi)存緩沖區(qū)上執(zhí)行操作，但可能讀取或?qū)懭氤鼍彌_區(qū)預(yù)期邊界范圍的內(nèi)存位置?！?/p>

遵循MISRA C規(guī)則或CERT規(guī)則可確保代碼安全，并規(guī)避CWE中的常見(jiàn)漏洞。這是因?yàn)閷懭朐浇缰羔槪ɑ蛑羔槻僮鲾?shù)）可能導(dǎo)致緩沖區(qū)溢出，從而產(chǎn)生易受攻擊的代碼；而讀取越界指針（或指針操作數(shù)）則可能意外泄露信息給黑客。

因此，通過(guò)確保遵循這些規(guī)則，將避免嚴(yán)重的編碼錯(cuò)誤。您可以使用靜態(tài)代碼分析工具（如Perforce QAC）來(lái)強(qiáng)制執(zhí)行MISRA和CERT規(guī)則。

MISRA C與其他標(biāo)準(zhǔn)的比較

MISRA C編碼標(biāo)準(zhǔn)也適用于軟件安全性比功能安全性更受重視的環(huán)境。

事實(shí)上，MISRA針對(duì)MISRA C:2012標(biāo)準(zhǔn)發(fā)布了兩個(gè)附錄，以幫助開發(fā)者將MISRA規(guī)則映射到C Secure和CERT C標(biāo)準(zhǔn)。

MISRA C和C Secure比較

MISRA C:2012 – 附錄2展示了每條MISRA規(guī)則如何映射到ISO/IEC TS 17961:2013中的C Secure規(guī)則。

C Secure中的每條規(guī)則都對(duì)應(yīng)MISRA C中的一條規(guī)則或指令。任何完全支持MISRA C的靜態(tài)代碼分析工具（如Perforce QAC），也將符合C Secure標(biāo)準(zhǔn)。因此，您可以靈活互換使用這些標(biāo)準(zhǔn)以確保安全。

MISRA C和CERT C比較

MISRA C:2012 – 附錄3展示了每條規(guī)則如何映射到CERT C規(guī)則。

CERT C是為C11設(shè)計(jì)的。MISRA C:2012是為C99設(shè)計(jì)的。

在CERT C規(guī)范中，有15條特定于C11的規(guī)則超出了MISRA C:2012的范圍。而在（MISRA C:2012范圍內(nèi)的）CERT C規(guī)則中，只有四條未被覆蓋。因此，MISRA C覆蓋了CERT C中的大部分安全規(guī)則。

注：使用Perforce QAC可自動(dòng)檢測(cè)這四條規(guī)則的全部違規(guī)情況。

將MISRA安全規(guī)則應(yīng)用于您的代碼

MISRA編碼標(biāo)準(zhǔn)為確保C語(yǔ)言代碼的安全性提供了一套最佳實(shí)踐準(zhǔn)則。采用MISRA安全規(guī)則是保障軟件整體安全性的明智之選。

如果您需要采用一種編碼標(biāo)準(zhǔn)，以增強(qiáng)對(duì)軟件安全性的信心，建議考慮MISRA C標(biāo)準(zhǔn)。該C語(yǔ)言編碼規(guī)范內(nèi)容全面，并已在安全與關(guān)鍵任務(wù)項(xiàng)目中被證明行之有效。

使用Perforce QAC編寫安全代碼

您可以借助Perforce QAC自動(dòng)執(zhí)行MISRA規(guī)則（適用于C或C++語(yǔ)言），這將大幅減少手動(dòng)代碼審查所需的時(shí)間，從而釋放開發(fā)資源，確保項(xiàng)目按時(shí)交付，同時(shí)提升軟件質(zhì)量。

Perforce QAC 主要通過(guò)以下機(jī)制幫助開發(fā)人員高效編寫安全代碼：

1. 精準(zhǔn)定位違規(guī)代碼，即時(shí)修復(fù)

實(shí)時(shí)診斷：支持 MISRA C 和 CERT C 標(biāo)準(zhǔn)，能在 IDE 中直接以“氣泡”形式標(biāo)記違規(guī)代碼，實(shí)現(xiàn)“邊寫邊查”。

增量分析：僅分析修改過(guò)的代碼文件，無(wú)需等待全量編譯，大幅提升修復(fù)效率。

所見(jiàn)即所得：雙擊報(bào)錯(cuò)即可跳轉(zhuǎn)至代碼具體行（如死代碼、非法指針轉(zhuǎn)換），快速修正。

2. 風(fēng)險(xiǎn)分級(jí)，聚焦核心

嚴(yán)重性過(guò)濾：允許開發(fā)者通過(guò)過(guò)濾器（Severity Filter）屏蔽次要警告，優(yōu)先解決“除以零”、“空指針”等高危致命漏洞。

復(fù)雜度監(jiān)控：自動(dòng)計(jì)算函數(shù)圈復(fù)雜度，幫助團(tuán)隊(duì)快速識(shí)別出難以維護(hù)、易藏漏洞的“高風(fēng)險(xiǎn)代碼塊”進(jìn)行重構(gòu)。

3. 閉環(huán)管理，審計(jì)無(wú)憂

合規(guī)例外管理：針對(duì)無(wú)法修復(fù)的規(guī)則違規(guī)，提供規(guī)范的“抑制（Suppression）”與“偏差（Deviation）”審批流程，杜絕隨意忽略報(bào)錯(cuò)。

自動(dòng)化報(bào)告：一鍵生成詳細(xì)的合規(guī)性報(bào)表與趨勢(shì)圖，為項(xiàng)目安全交付和外部審計(jì)提供可追溯的證據(jù)。

Perforce中國(guó)授權(quán)合作伙伴——上海龍智