Embedded System development Coding Reference guide[C Language] v3.0(以下简称ESCR)是日本IPA(
)编写的遵循C11、MISRA C:2012等国际通用标准的嵌入式C参考规范。此资源在IPA官网上提供英语与日语版开放下载。Information-technology Promotion Agency
ISO/IEC 25010:2011规定了软件产品质量的8个特性:
“reliability”, “maintainability”, “portability”, “efficiency”, “secu-
rity”, “functionality”, “usability” and “compatibility”.
ESCR编写组认为“functionality”, “usability” 和 “compatibility” 属于初期设计阶段,和本书关系不大,“security” 虽然不再只是 “functionality” 的子特性,但与本书联系不紧密。
因此这本书的重点是
“reliability”, “maintainability”, “portability”, and “efficiency”
安全性(Security)方面只出了一个专栏,主要讲缓存溢出方面的,并给出了一个参考标准《CERT C Coding Standard, 2016 Edition》。
此外,IPA还编写了另一本讲安全的书IoT Safety/Security Development Guidelines v2.0。
Security 专栏
- 主要注意三个点:
- 使用string库。主要是越界问题。尽量使用C11的安全函数比如
strcpy_s(),并注意检查边界。 - 处理敏感信息。四个点:
- 不要明文储存敏感信息(请提前加密)——防止被读出,不过参照第三条,怕不是在内存(RAM)里也要加密存了...
- 确保已被程序使用完毕的敏感信息没有写到磁盘里——毕竟磁盘的数据删不干净,能不用就不用,省得被数据恢复了。嵌入式常用的FLASH,如果采用了循环使用FLASH区的算法,其实一般也不会特意删干净。
- 清除储存到可重用资源(比如动态内存)里的敏感信息——用过指针的都知道,
delete或alloc()函数只是释放了资源不代表真的把这些资源全清成0了,所以手动清除确实更有保障。 - 如果有函数是准备用来清理敏感资源用的,注意声明加上
volatile,防止被编译器优化掉——这确实是个坑...
- 处理不能完全信任的数据——从不在你掌控下的信息来源接受到的数据,要防止缓存溢出。注意以下几种数据类型:
- Integer value:注意上下限。
- Format string:比如
printf()的用的带类似%s的那种。这玩意儿有导致缓存溢出的风险。书里举的例子是%n能把某个保存异常处理地址的变量赋值成恶意代码所在的地址。所以这类字符串必须通过检查
(未完待续)
- 使用string库。主要是越界问题。尽量使用C11的安全函数比如
