編程語言的現代化和更好的編碼技術與從機械計算機到現代軟件開發流程的演變直接相關。我們已經從高度專業化、主要是數學符號的表示法過渡到了更接近人類語法的高級編程語言[1]，這一進步歸功于編譯器技術。然而，這也打開了代碼缺陷之門。C和C++ 等高級編程語言，包含大量未定義的行為，而不同的編譯器對這些行為的解釋可能略有不同，這可能會導致未知或不希望的副作用，最終轉化為缺陷。

查找和修復這些缺陷可能占用開發時間的高達80%，具體取決于開發組織的成熟程度。這引出了一個明顯的結論，那就是代碼質量是一個大問題。那么，為什么不盡量避免缺陷，以減少調試所需的時間呢？

順便說一句，盡管我們在軟件中仍然使用“錯誤”和“調試”這些概念，但這些詞的起源可以追溯到哈佛大學的機械計算機。當時，一只飛蛾卡在繼電器中，這一事件被記錄為計算機歷史上第一個“錯誤”或缺陷。

一次又一次重復同樣的錯誤

眾所周知，在Web、應用程序、桌面，甚至嵌入式開發中，開發人員傾向于一次又一次地在他們的源代碼中無意間引入相同類型的錯誤。這個結論來自于多個備受尊敬的機構，如NASA、貝爾實驗室和MITRE，它們進行了多項調查和研究。一些常見陷阱的例子包括在C++代碼（甚至C代碼）中沒有進行分配后的釋放，以及使用沒有原型的函數，因此無法在編譯時進行嚴格的類型檢查。這項研究的結果列出了最佳編程實踐或推薦的編程實踐，可以識別有風險的不良編碼行為。

有許多關于如何提高代碼質量的指南和編碼實踐，這些指南和編碼實踐基于常見錯誤以及如何在將來避免這些常見錯誤。其中一些技巧和實踐已經成為廣泛接受的標準（比如MISRA-C和CERT-C），特別是在像汽車、醫療和鐵路等關鍵行業中，以確保應用程序的代碼安全性（safety)和代碼安全性(security)。功能安全標準，如IEC 61508[2]、EN 50128[3]和ISO 26262 [4]，建議（或高度建議，取決于安全完整性級別（SIL）或汽車安全完整性級別（ASIL））使用靜態和運行時分析工具，以滿足標準。安全關鍵系統中的缺陷可能導致嚴重后果，如人員傷亡或環境破壞。

關注可靠性

安全編碼技術綜合了代碼質量、代碼安全性(safety)和代碼安全性(security)。代碼安全性(safety)關注的是軟件的可靠性，而代碼安全性(security)則旨在防止不必要的活動，并確保在遭受攻擊時系統的安全性(security)。這兩者都深刻依賴于代碼質量，因為代碼質量是每個可靠應用程序的基礎。

安全編碼技術和標準的目標是推動軟件的安全性，以確保所需的可靠性。然而，同樣重要的是提高源代碼的可讀性和可維護性。更高效、更易讀的代碼意味著未來的源代碼更加健壯，缺陷更少，并有助于實現代碼的可重用性。

MISRA C是避免常見陷阱和漏洞的最成熟的軟件開發標準之一，同時也有其他指南，如CWE和CERT-C編碼標準，這些標準在任何嵌入式應用程序中都被強烈推薦。讓我們更深入地了解這些編碼標準。

MISRA C標準

MISRA C由汽車行業軟件可靠性協會（Motor Industry Software Reliability Association）開發，它的目標是提高嵌入式系統中代碼的安全性、可移植性和可靠性，尤其是那些使用ISO C編程的系統。

MISRA C標準的第一版名為《車載軟件C語言開發指南》，于1998年發布，正式名稱為MISRA-C:1998。之后于2004年和2012年進行更新，添加了更多的規則。此外，還有基于C++ 2003的MISRA C++ 2008標準。最近，MISRA C:2012的修正案1添加了14條附加的規則，重點關注了ISO C安全(Secure)指南中強調的安全(Security)問題。其中一些規則解決了在許多嵌入式應用程序中已知的安全漏洞之一：與使用不可信數據相關的特定問題。

MISRA規則可以幫助您在將代碼提交到正式構建之前發現問題，因此通過這種方式發現的缺陷就好像缺陷從未存在過一樣。MISRA規則的設計是以安全性和可靠性為前提的，同時也讓代碼更容易移植到其他工具和架構上。

CWE and CERT C/C++

CWE，即通用弱點枚舉（Common Weakness Enumeration），是一個由社區開發的有關軟件弱點的字典。CWE提供了一套統一的、可衡量的軟件弱點，以更好地理解和管理它們，并支持能夠找到它們的高效軟件安全工具和服務。

CERT C/C++安全（Secure)編碼標準是由計算機緊急響應團隊（CERT）發布的標準，提供了有關C/C++編程語言中安全(Secure)編碼的規則和建議。

實施安全編碼技術

作為一般建議，每個嵌入式應用程序都應遵循MISRA（對于安全關鍵系統，MISRA 是強制性的）、CWE和CERT C/C++標準。

遵循對應的編碼標準之后，在運行時，您的應用程序仍然可能受到算術問題、緩沖區溢出、邊界問題、堆完整性和內存泄漏等問題的影響。要檢測到這些錯誤，可以在可能發生潛在錯誤的所有位置插入特定的檢測代碼或斷言。然而，手動添加指令來檢查并在運行時報告問題是一項非常耗時的任務。

要遵守所有這些準則和標準，您需要遵循近700條規則和要求，同時還需要在源代碼中添加測試代碼。那么，如何實施安全編碼技術并遵循所有這些規則呢？

使用自動化工具

提高軟件質量、安全性和可靠性的最佳方法是使用自動化工具。這可以通過使用高質量的編譯器和鏈接器（最好是經過功能安全認證的編譯器和鏈接器），以及自動化的靜態分析和運行時分析工具來實現。

編譯器和鏈接器應該支持現代編程語言，比如最新的C（ISO/IEC 9899:2018）和C++（ISO/IEC 14882，也稱為C++17修訂版），這樣它們就會在出現可疑情況或語法問題時生成警告，例如，volatile內存訪問順序可能會影響應用程序的邏輯。

編譯器和鏈接器警告（warning)是您的第一步靜態分析檢查，絕不能忽視，特別是在功能安全環境中。最佳建議是通過更改編譯器設置將這些警告視為錯誤，這可以，將所有警告轉變為錯誤。這將讓開發人員修復代碼中的所有不明確之處，因為所有問題都將被視為真正的問題。

靜態分析工具可以幫助您發現代碼中最常見的缺陷，同時還可以幫助您找出開發人員在試圖編寫代碼時通常不會考慮或擔心的問題，尤其是當他們只是在編寫腳手架代碼以使某些功能正常運行時。這些類型的靜態分析工具確實可以幫助您開發更高質量的代碼，因為它們可以幫助您實施編碼標準。此外，還有動態或運行時分析工具可以捕獲僅在運行時出現的代碼缺陷。動態或運行時分析工具可以在通過軟件調試器中執行程序時發現代碼中的實際和潛在錯誤。

因此，當您查看系統中可能存在的所有缺陷時，靜態分析工具擅長找到某些類型的缺陷，而運行時分析工具則擅長找到其他類型的缺陷。有時它們可能會有重疊，但有時只有一種工具才能檢測到某個缺陷。要獲得最全面的代碼分析，最好將這兩種工具結合使用，并將它們與頂尖的構建工具集成在一起。以下矩陣最好地展示了在結合不同工具時檢測的完整缺陷覆蓋范圍。

捕獲漏洞

這個效應可以通過下面的圖片很好地解釋，這張圖片來自德國比勒費爾德大學[5]，由一位匿名貢獻者拍攝，并在2005年廣泛傳播：

通常，破壞系統最簡單的方法是繞過它而不是戰勝它。這主要是與不安全編碼實踐相關的軟件漏洞。上面的圖片很好地闡釋了這一點：根據建議，門已按規范設置并正常運行。然而，安全措施很容易被繞過，直到運行時分析工具（在本例中是雪）投入使用之前，可能很難發現安全系統中的漏洞。自動化運行時分析工具可以掃描您的代碼以尋找潛在的漏洞，這是檢測此類問題的絕佳方式。

在本例中，安全漏洞通過硬件修復，具體來說，根據2020年谷歌街景的信息，安裝了混凝土護柱[6]：

編碼標準有助于讓您的代碼面向未來并易于重用。這意味著代碼質量影響了代碼的可重用性，這是成熟組織在開發新產品時的文化。實施安全編碼技術形成了一個良性循環，并且它再次驗證了我們的前提：一切都始于代碼質量。