安全編碼技術(shù)：提高嵌入式應(yīng)用代碼安全性與可靠性

編程語言的現(xiàn)代化和更好的編碼技術(shù)與從機(jī)械計(jì)算機(jī)到現(xiàn)代軟件開發(fā)流程的演變直接相關(guān)。我們已經(jīng)從高度專業(yè)化、主要是數(shù)學(xué)符號的表示法過渡到了更接近人類語法的高級編程語言，這一進(jìn)步歸功于編譯器技術(shù)。然而，這也打開了代碼缺陷之門。 C和C++ 等高級編程語言，包含大量未定義的行為，而不同的編譯器對這些行為的解釋可能略有不同，這可能會導(dǎo)致未知或不希望出現(xiàn)的副作用，最終轉(zhuǎn)化為缺陷。

查找和修復(fù)這些缺陷可能會占用高達(dá)80%的開發(fā)時(shí)間，具體取決于開發(fā)機(jī)構(gòu)的成熟程度。這引出了一個(gè)明顯的結(jié)論：代碼質(zhì)量是一個(gè)大問題。那么，為什么不盡量避免缺陷，以減少調(diào)試所需的時(shí)間呢？

順便說一句，我們現(xiàn)在仍然在軟件中使用“錯(cuò)誤”和“調(diào)試”這些概念，但這些詞的起源可以追溯到哈佛大學(xué)的機(jī)械計(jì)算機(jī)。當(dāng)時(shí)，一只飛蛾卡在繼電器中，這一事件被記錄為計(jì)算機(jī)歷史上第一個(gè)“錯(cuò)誤”或缺陷。

一次又一次重復(fù)同樣的錯(cuò)誤

眾所周知，在Web、應(yīng)用程序、桌面，甚至嵌入式開發(fā)中，開發(fā)人員往往會無意間一次又一次地在他們的源代碼中引入相同類型的錯(cuò)誤。這個(gè)結(jié)論來自于多個(gè)重要機(jī)構(gòu)，如NASA、貝爾實(shí)驗(yàn)室和MITRE，他們進(jìn)行了多項(xiàng)調(diào)查和研究。常見缺陷的例子包括在C++代碼（甚至C代碼）中沒有進(jìn)行分配后的釋放，以及使用沒有原型的函數(shù)，因此無法在編譯時(shí)進(jìn)行嚴(yán)格的類型檢查。這項(xiàng)研究的結(jié)果列出了最佳編程實(shí)踐或推薦的編程實(shí)踐，它們可以識別有風(fēng)險(xiǎn)的和不良的編碼行為。

有許多關(guān)于如何提高代碼質(zhì)量的指南和編碼實(shí)踐，它們都基于常見的錯(cuò)誤，并指出了如何在將來避免這些常見錯(cuò)誤。其中一些技巧和實(shí)踐已經(jīng)成為被廣泛接受的標(biāo)準(zhǔn)（比如MISRA-C和CERT-C），特別是在汽車、醫(yī)療和鐵路等關(guān)鍵行業(yè)中，以確保應(yīng)用程序的代碼安全性（code safety）和代碼防護(hù)能力（code security）。諸如IEC 61508、EN 50128和ISO 26262等功能安全標(biāo)準(zhǔn)建議[或強(qiáng)烈建議，具體取決于安全完整性等級（SIL）或汽車安全完整性等級（ASIL）]使用靜態(tài)和運(yùn)行時(shí)分析工具，以滿足標(biāo)準(zhǔn)。因?yàn)榘踩P(guān)鍵系統(tǒng)中的缺陷可能會導(dǎo)致嚴(yán)重后果，如人員傷亡或環(huán)境破壞。

關(guān)注可靠性

安全編碼技術(shù)要綜合考慮代碼質(zhì)量、代碼安全性和代碼防護(hù)能力。代碼安全性關(guān)注的是軟件的可靠性，而代碼防護(hù)能力則旨在防止不必要的活動(dòng)，并且在遭受攻擊時(shí)確保系統(tǒng)安全。這兩者都高度依賴于代碼質(zhì)量，因?yàn)榇a質(zhì)量是每個(gè)可靠應(yīng)用程序的基礎(chǔ)。

安全編碼技術(shù)和標(biāo)準(zhǔn)的目標(biāo)是推動(dòng)軟件的安全性，以確保所需的可靠性。然而，同樣重要的是提高源代碼的可讀性和可維護(hù)性。更高效、更易讀的代碼意味著源代碼更加健壯、缺陷更少且在未來可用，有助于提高代碼的可重用性。

MISRA C是最成熟的軟件開發(fā)標(biāo)準(zhǔn)之一，可以避免常見的缺陷和漏洞。當(dāng)然，還有一些其他指南，如CWE和CERT-C編碼標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)對于任何嵌入式應(yīng)用程序都是強(qiáng)烈推薦的。下面讓我們更深入地了解這些編碼標(biāo)準(zhǔn)。

MISRA C標(biāo)準(zhǔn)

MISRA C由汽車行業(yè)軟件可靠性協(xié)會（Motor Industry Software Reliability Association）開發(fā)，它的目標(biāo)是提高嵌入式系統(tǒng)中代碼的安全性、可移植性和可靠性，尤其是那些使用ISO C編程的系統(tǒng)。

MISRA C標(biāo)準(zhǔn)的第一版名為《車載軟件C語言開發(fā)指南》，于1998年發(fā)布，正式名稱為MISRA-C:1998。之后于2004年和2012年進(jìn)行了更新，添加了更多的規(guī)則。另外，還有基于C++ 2003的MISRA C++ 2008標(biāo)準(zhǔn)。此后，MISRA C: 2012的修正案1又添加了14條附加規(guī)則，重點(diǎn)關(guān)注ISO C安全指南（Secure Guidelines）中強(qiáng)調(diào)的安全問題（security concerns）。其中一些規(guī)則解決了在許多嵌入式應(yīng)用程序中已知的安全漏洞之一：與使用不可信數(shù)據(jù)相關(guān)的特定問題。

MISRA規(guī)則可以幫助您在提交代碼進(jìn)行正式構(gòu)建之前發(fā)現(xiàn)問題，因此通過這種方式發(fā)現(xiàn)的缺陷就好像缺陷從未存在過一樣。MISRA規(guī)則的設(shè)計(jì)是以安全性和可靠性為前提的，同時(shí)也讓代碼更容易移植到其他工具和架構(gòu)上。

CWE and CERT C/C++

CWE，即通用缺陷列表（Common Weakness Enumeration），是一個(gè)由社區(qū)開發(fā)的有關(guān)軟件缺陷的詞典。CWE提供了一套統(tǒng)一的、可衡量的軟件缺陷，以便更好地理解和管理它們，并且可以支持能夠發(fā)現(xiàn)它們的高效軟件安全工具和服務(wù)。

CERT C/C++安全編碼標(biāo)準(zhǔn)（Secure Coding Standards）是由計(jì)算機(jī)緊急響應(yīng)小組（Computer Emergency Response Team，CERT）發(fā)布的標(biāo)準(zhǔn)，提供了有關(guān)C/C++編程語言中安全編碼（secure coding）的規(guī)則和建議。

實(shí)施安全編碼技術(shù)

作為通常性的建議，每個(gè)嵌入式應(yīng)用程序至少都應(yīng)遵循MISRA（對于安全關(guān)鍵系統(tǒng)，MISRA 是強(qiáng)制性的）、CWE和CERT C/C++標(biāo)準(zhǔn)。

遵循這些編碼標(biāo)準(zhǔn)之后，在運(yùn)行時(shí)，您的應(yīng)用程序仍然可能會受到算術(shù)問題、緩沖區(qū)溢出、邊界問題、堆完整性和內(nèi)存泄漏等問題的影響。要檢測到這些錯(cuò)誤，可以在可能發(fā)生潛在錯(cuò)誤的所有位置插入特定的檢測代碼或斷言。然而，手動(dòng)添加指令來檢查并在運(yùn)行時(shí)報(bào)告問題是一項(xiàng)非常耗時(shí)的任務(wù)。

要遵守所有這些指南和標(biāo)準(zhǔn)，您需要遵循近700條規(guī)則和要求，同時(shí)還需要在源代碼中添加檢測代碼。那么，如何實(shí)施安全編碼技術(shù)并遵循所有這些規(guī)則呢？

使用自動(dòng)化工具

提高軟件質(zhì)量、安全性和可靠性的最佳方法是使用自動(dòng)化工具。這可以通過使用高質(zhì)量的編譯器和鏈接器（最好是經(jīng)過功能安全認(rèn)證的編譯器和鏈接器），以及自動(dòng)化的靜態(tài)分析和運(yùn)行時(shí)分析工具來實(shí)現(xiàn)。

IAR作為全球領(lǐng)先的嵌入式系統(tǒng)開發(fā)軟件解決方案供應(yīng)商，所提供的集成開發(fā)環(huán)境IAR Embedded Workbench就包括了編譯器、匯編器、鏈接器和調(diào)試器，并無縫集成了靜態(tài)分析工具 C-STAT和運(yùn)行時(shí)分析工具C-RUN，形成了完整的工具鏈。憑借這些強(qiáng)大的功能，IAR Embedded Workbench可以確保代碼的穩(wěn)健性、安全性和高質(zhì)量。

我們先來看看編譯器和鏈接器，它們應(yīng)該支持現(xiàn)代編程語言，比如最新的C（ISO/IEC 9899:2018）和C++（ISO/IEC 14882:2020，也稱為C++20修訂版），這樣它們就會在出現(xiàn)可疑情況或語法問題時(shí)生成警告，例如，易失性內(nèi)存訪問，其求值順序可能會影響應(yīng)用程序的邏輯。

編譯器和鏈接器警告（warnings）是您的第一步靜態(tài)分析檢查，絕不能忽視，特別是在功能安全環(huán)境中。最佳建議是通過更改編譯器設(shè)置將所有警告視為錯(cuò)誤，這樣就可以將這些警告轉(zhuǎn)換為錯(cuò)誤。這將讓開發(fā)人員修復(fù)代碼中的所有不明確之處，因?yàn)樗袉栴}都將被視為真正的問題。

靜態(tài)分析工具可以幫助您發(fā)現(xiàn)代碼中最常見的缺陷，同時(shí)還可以幫助您找出開發(fā)人員在嘗試編寫代碼時(shí)通常不會考慮或擔(dān)心的問題，尤其是當(dāng)他們只是編寫腳手架代碼以使某些功能正常運(yùn)行時(shí)。這種類型的工具確實(shí)可以幫助您開發(fā)更高質(zhì)量的代碼，因?yàn)樗鼈兛梢詭椭鷮?shí)施編碼標(biāo)準(zhǔn)。IAR的C-STAT靜態(tài)分析工具無需任何安裝和靜態(tài)代碼分析工程創(chuàng)建，只需要進(jìn)行簡單的規(guī)則設(shè)置，就可以在構(gòu)建（Build）成功之后進(jìn)行靜態(tài)代碼分析，非常適合開發(fā)人員在日常開發(fā)過程中使用。

此外，還有動(dòng)態(tài)或運(yùn)行時(shí)分析工具，可以捕獲僅在運(yùn)行時(shí)出現(xiàn)的代碼缺陷。動(dòng)態(tài)或運(yùn)行時(shí)分析工具可以在于軟件調(diào)試器中執(zhí)行程序時(shí)發(fā)現(xiàn)代碼中的實(shí)際和潛在錯(cuò)誤。IAR的C-RUN動(dòng)態(tài)分析工具通過簡單的配置、重新編譯、運(yùn)行，即可實(shí)現(xiàn)算術(shù)檢查、邊界檢查和堆檢查。使用C-RUN無需對現(xiàn)有流程做任何修改，可作為日常開發(fā)工作流程的自然組成部分，這極大地降低了動(dòng)態(tài)分析工具的使用門檻。

當(dāng)您查看系統(tǒng)中可能存在的所有缺陷時(shí)，靜態(tài)分析工具擅長找到某些類型的缺陷，而運(yùn)行時(shí)分析工具則擅長找到其他類型的缺陷。有時(shí)它們可能會有重疊，但有時(shí)只有一種工具才能檢測到某個(gè)缺陷。要獲得最全面的代碼分析，最好將這兩種工具結(jié)合使用，并將它們與頂尖的構(gòu)建工具集成在一起。下圖的矩陣很好地展示了在結(jié)合不同工具進(jìn)行檢測時(shí)完整的缺陷覆蓋范圍。

總結(jié)

隨著嵌入式系統(tǒng)的復(fù)雜性提高，對于嵌入式軟件的要求也越來越高，其中最核心最根本的是代碼質(zhì)量，而遵循編碼標(biāo)準(zhǔn)的安全編碼技術(shù)是提高代碼質(zhì)量的最佳實(shí)踐。實(shí)施安全編碼技術(shù)最有效的方式是應(yīng)用自動(dòng)化工具，包括編譯器、鏈接器、靜態(tài)分析工具、運(yùn)行時(shí)分析工具。這樣可以高效地在開發(fā)過程中提高代碼質(zhì)量及其安全性和可靠性，既減少了項(xiàng)目的開發(fā)時(shí)間和成本，又提高了產(chǎn)品的質(zhì)量和競爭力。