記事「2016年のCでの記述方法」に関する注意

実際、これは武器であればアセンブラーのように見えますが、Cでは、非常に注意する必要があります



翻訳者から：

この出版物は、応答記事を「How to C in 2016」というテキストに翻訳したものです。 後者の翻訳は、金曜日に私によって公開され 、いくつかの場所で、コミュニティからの混合反応を引き起こしました。 Habrのフレームワーク内で既に問題の議論を維持するためのこの「答え」へのヒントは、 CodeRushユーザーから与えられました。



以前に、 「Programming C in 2016」という記事がオンラインで公開され、多くの有用なヒントが掲載されましたが、残念ながらあまり良いアイデアではありませんでした。 そのため、関連する点についてコメントすることにしました。 私が新しい資料を準備している間、誰かがCで仕事をするのは責任あるプログラマーだけであり、他の言語は既存のスキルを改善する機会がもっとある無責任でなければならないことに気付きました。 その分野の専門家の秘密を理解しましょう。

デバッガーを使用する

ポイント1はおそらく無視しますが、無駄になりますが、執筆段階でコードの各行に対してカーネルレベルのデバッガーを起動することです。 このツールの可能性を特に複雑な問題を解決するためだけに使用すると、間違いを犯すことになります。



つまり、Visual Studio、Xcode、EclipseなどのIDEを使用するということです。 この場合、（デバッグ機能なしで）エディターのみで作業する場合、あなたは貧弱な仕事をしています。 非常に多くの人がデバッグ機能を持たないエディターでコードを書くため、このニュアンスに言及します。 そして私も例外ではありません。



これは、すべての言語、特にCでプログラミングする場合に重要です。 メモリが破損している場合は、エラーを検出するためにメモリの構造と内容をダンプする必要があります。 Xが奇妙な37653を出力するのはなぜですか？ printf（）スタイルのデバッグコマンドでは状況が明確になりませんが、スタック上のhexdumpユーティリティのデータを見れば、特定の量の情報がどのように書き込まれたかを確実に理解できます。

コードのデバッグを忘れないでください

Cはメモリ保護を提供しないため、コードのこの部分が破損した部分に関連していない場合でも、ある場所で発生したエラーが別の場所で発生する場合があります。 これが、コードの問題のあるセクションをデバッグすることが非常に難しい理由です。 そのような場合、多くのプログラマーが髪を引き裂き、「修正できない」と叫び、同僚に助けを求めます。



同じ熊手を踏まないでください。 このような「解決不可能な」タスクに何度か直面すると、より良いコードを書く方法を学びます。 これは、バグを迅速に検出する自己テストコードです。または、書き込みプロセス中に、境界線のケースをカバーする、データブロック全体の効果的な検証ユーティリティが使用されます。

コードを積極的に保護する

マネージャーがcatch（...）（C ++で）をプログラムのクラッシュを避けるためにどこにでも置くことにしたプロジェクトにたまたま取り組みました。 例外やメモリ破損のケースでさえ仮装してマスクされ、プログラムは機能し続けました。 開発者は、コードの脆弱性を減らしたように見えました。 彼らは、防御的なプログラミングスタイルが優れたソリューションであると考えました。



しかし、これは保護ではなく、愚かです。 後で検出するのがより難しいエラーを隠すロジックはどこにありますか？



異なる方法で行います。 攻撃の原則、つまり最短時間で欠陥を特定するコードが必要です。



このアプローチを現実にする方法の1つはassert（）です-二重のテストの前提。これにより、すべてを正しく行うことができます。 この関数は、メモリに害を与える前にバグを検出します。 私は真剣です：Cの目立たないエラーをデバッグするには、クラッシュを引き起こす可能性のある場所にassert（）を挿入します（提案されたコマンドに夢中にならないでください）。



コードについて話している場合、「事前に攻撃する」ための最良の方法は、単体テストを使用することです。 疑問がある場合はすぐに、あいまいなパラメーターをチェックする単体テストを作成してください。 Cで作業しているとき、すべてが最初に計画どおりに進んだときに混乱しやすく、その後奇妙なことが起こるという意見があります。そのような場合、適切なテストを用意しておくのも良いことです。

コードは品質でなければなりません

この点に関して、単体テスト、回帰テスト、さらにはファジングのようなものが徐々に標準になりつつあります。 オープンソースプロジェクトがある場合は、定性分析を実施するためにmake testオプションを要求するだけです。 これにより、高いカバレッジで単体テストコードを実行できます。 このアプローチは、大規模なオープンソースプロジェクトの標準と考えられています。 私は冗談ではありません。高いコードカバレッジでのユニットテストは、すべての新しいプロジェクトの出発点となるはずです。 これは、私の深刻なオープンソース開発のすべてで気づくでしょう。 ここで、私はすでに初期段階でモジュール式のテキストを書き始め、次々と書き始めます（ただし、私は怠け者なので、高いコードカバレッジを誇ることはできません）。



AFLを介したファジングは比較的新しい現象ですが、このメカニズムをテストすることにより、さまざまなオープンソースプロジェクトのバグを識別するのにどれほど効果的かを理解できます。 Cプログラミング言語は、外部からの解析に関してはすべての記録を破ります。 過去には、不適切なフォーマットのファイルまたは無用なネットワークパケットが原因で、ソフトウェアクラッシュが頻繁に発生していました。 しかし、2016年には、誰もそのようなナンセンスを容認しません。 入力したデータに関係なく、プログラムがおそらく正しく動作するかどうかわからない場合は、どこかで間違えられています。



そして、他の誰かが品質を大事にすべきだと思われる場合、あなたは再び間違っています。

グローバル変数を忘れる

私がC / C ++でオープンソースプロジェクトに取り組んでいるとき、それは私が生きることを妨げるグローバル変数です。 グローバル変数の実際のホットベッドを作成したため、プロジェクトをデバッグしてマルチスレッドパラメータを設定することは困難です。 それらの使用を最小限に抑える-そして、コードのリファクタリングははるかに効率的になります。



はい、デバッグ/ステータス登録システムについて話している場合、グローバル変数にアクセスする必要さえあります。他の場合には、それらの存在を忘れてください。

OOPを少し、関数型プログラミングとJavaを少し追加

彼らはしばしば「私は任意の言語でFORTRANでプログラムできます」と冗談を言い、プログラマーはよく1つまたは別の言語を他の目的に使用し、使い慣れたツールに変換しようとすることを言及します。 しかし、これは、どのようなプログラミング言語に遭遇しても、愚かなプログラマーは愚かなままであると言う方法です。 場合によっては、さまざまなプログラミングシステムに固有のユニバーサルプロパティも正常に機能します。



オブジェクト指向プログラミングでは、構造の概念が、情報の処理に必要なデータとメソッドをどのように結合するかに関心があります。 struct Foobaの場合、foo_xxxx（）に要約される一連の関数を作成します。 コンストラクタfoo_create（）、デストラクタfoo_destroy（）、および構造を定義する関数のホストは自由に使用できます。



最も重要なのは、ヘッダーファイルではなく、Cファイルでstruct Foobarを記述することです。 関数を公開しますが、ここでは構造の正確な形式を非表示にすることが望ましいです。 原則として、構造への直接リンクが提供されます。これは、ヘッダーのエクスポートがバイナリアプリケーションインターフェイスの互換性に影響するライブラリにとって特に重要です（構造のサイズが変更されるため）。 構造をエクスポートする場合は、バージョンまたはサイズを最初のパラメーターとして指定します。



いいえ、継承とポリモーフィズムに至るまで、OOPの詳細には触れません。 それどころか、モジュラープログラミングの利点に注目してください。原則としてOOPに似ています。



さらに、関数型プログラミングのいくつかの優れたアイデア、つまり「副作用」を持たない固有の機能のアイデアをキャンセルした人はいません。 これらは、ソースデータと特定の出力情報を持つように設計されたオプションです。 アマチュア公演はありません。 作成した機能のほとんどは、このように見えるはずです。 void foobar（void）のようなものを作成する場合、 -トラブルを予期します。



生活を著しく複雑にするツールのリストには、グローバル変数も記載されています。 パフォーマンスを低下させるシステムコールは同じカテゴリに分類されます。 グローバル変数は、int foobar（struct Xyz * p）を介して呼び出す構造体の奥深くに隠された変数と本質的に似ています。 その結果、必要なパラメーターを見つけるためにpの深さを掘り下げる必要があります。 これがすべて表面にある場合はより簡単になり、リクエストはfoobar型（p-> length、p-> socket-> status、p-> bbb）で形成されます。 はい、この場合、長くて厄介なパラメータのリストを操作する必要がありますが、複雑な構造の代わりに、foobar（）関数は単純な型に依存します。



一部には、プログラミングへの同様の機能的アプローチは定数の使用によるものです。定数はポインターをconstで指定するため、関数はそれらを変更できません。 しかし、結果がどこにあるか（戻り値と非定数ポインター）、およびソースデータがどこにあるかは明らかです。



Cは低レベルシステムのプログラミング言語ですが、明らかに複雑な場合を除いて、C言語を乱用しないようにしてください。 特定のCの手法の代わりに、コードがCの条件に似ていても、コードをより広い環境で実行可能にするツールを使用して、JavaScript、Java、C＃などと統合できます。



ポインター演算なしで処理する必要があります。 はい、1980年代にはコードの大幅な高速化が可能になりましたが、1990年代以降は、特に現代の最適化コンパイラの場合には役に立たなくなりました。 ポインター演算は、コードの可読性を低下させるだけです。 オープンソースプロジェクトがサイバー詐欺（Hearbleed（明らかにHear t bleed。）、Shellshockなど）にさらされるたびに、ポインター演算を使用してコード内の理由を探してください。 または、整数インデックス変数を見て、Javaでこれを記述しているかのように、対応するデータ配列を解析します。



コードを記述するためのこのような理想的なアプローチは、構造/整数のネットワークプロトコル/ファイル形式の解析を拒否することも意味します。 はい、ネットワークロギングのマニュアルでは、noths（*（short *）p）のようなものを使用することを推奨していますが、このアドバイスは執筆時点では最も成功していませんでしたが、今日では完全に不適切です。 Javaのように整数パラメーターを分析します：p [0] * 256 + p [1]。 詰め込まれた構造を表面に固定すると、分析しやすくなると思われます-ありませんでした。

安全でない機能をブロックする

廃止されたstrcpy（）およびsprintf（）関数の使用を停止します。 脆弱性を見つけた場合、おそらくここにあります。 さらに、このようなセットでは、上記の各関数を調べてバッファーがいっぱいになっていないことを確認する必要があるため、コードの監査ははるかに高価です。 バッファは大丈夫だと確信しているかもしれませんが、長くて退屈なものがないかどうか確認する必要があります。 いいえ、strlcpy（）/ strcpy_s（）およびsnprintf（）/ sprintf_s（）を記述します。



一般に、バッファオーバーフローと可変サイズオーバーフローの意味を実際に認識する必要があります。 OpenBSDでのreallocarray（）の使用方法、このオプションが変数サイズのオーバーフローの問題を解決する理由を確認し、malloc（）の代わりにすべてのコードで使用してみてください。 必要に応じて、元のreallocarray（）をOpenBSDからコピーし、プログラムのこの関数に固執します。



特定のデータを入力するときにコードが突然クラッシュする理由を知っていますか？ たぶんそれは彼らの安全だ。 ところで、ハッカーがコードをクラックするのはなぜですか？ あなたはすべてを正しく行います-そのような問題をもう心配する必要はありません。



「2016年のCを使用したプログラミング」の記事では、どこでもcalloc（）を使用するためのヒントがありました。 急いで従わないでください。この場合、多くのプラットフォームで変数サイズのオーバーフローが発生するためです。 また、realloc（）などの関数に慣れると同時に、reallocarray（）も使用します。



安全なコードを書くための多くのルールがありますが、私が言ったことに従えば、この分野のほとんどの問題を解決できます。 そして、はい、たとえそれがローカルファイルまたはUSBポートであるとしても、ソースデータについては懐疑的です。

奇妙なコードでダウン

ソフトウェア開発を専門とするすべての企業に欠けているのは、仕事の後の会議です。誰でも参加でき、統一されたスタイルの生成コードの提案を発声できます。 その後、誇示するすべての人を解雇します。 馬鹿げているね。



正しい「スタイル」と呼ぶことができる唯一のことは、コードがインターネットの同僚と類似していることです。 これは、個人コードと通常作業するオープンソースプロジェクトの両方に適用されます。 Linux、BSD、WebKit、Gnuなどが提供する既存の有名なスタイルのいずれかを選択するだけです。



他のプログラミング言語、特にPythonの利点のうち、非常に少数の一般的に受け入れられているスタイルに注目することができますが、これはCについては言えません。まれで奇妙に見えます。 LibreSSLはBSD形式に変換しました。 非常に良い解決策：Cのスタイルがあまりにも華やかすぎて古くなったら、多分それを一般的で馴染みのあるものに変える時が来たのかもしれません。



あなたのコードでどれだけクールに見えるかがわかるとすぐに、誰もがあなたと同じクールなものを使用すると確信していますか？ いいえ、それらを取り除きます、彼らは人々を悩ますだけです。 または、そのようなツールが重要な場合（それが起こることもあります）、経験を文書化します。

マルチコアプロセッサは未来です

プロセッサが高速になる可能性は低いです。 ご覧のとおり、ますます多くのコアが表示されています。 いいえ、これはマルチスレッドコードを記述する必要がないという意味ではありませんが、おそらくそれらの将来について考える必要があります。



ミューテックスとクリティカルセクションにはノーと言います-コードを複雑にするだけです。 はい、これにより製品の安全性は向上しますが、パフォーマンスが低下します。 したがって、コードは2コアまたは3コアで飛ぶことができますが、それ以上あると、プログラムの速度が低下し始めます。 Cでのプログラミングのフレームワークで異なる数のコアのスケーラビリティよりも重要なのは、製品のセキュリティを適切なレベルに確保することだけです。



すぐに、さまざまなシステムの拡張性に特化した巨大な記事に精通することになると思いますが、さっきも言ったように、組み込みの構造のデータ交換のグローバル変数と隠された関数を取り除きます。 次に、コードとそのスケールをリファクタリングする必要がある場合、作業がはるかに簡単になります。

成功/失敗のtrue / falseを忘れる

記事「2016年のCによるプログラミング」は、成功は常に真実であると述べています。 ナンセンス。 真実は真実であり、成功は成功です。 それらの間に等号を入れないでください。 結果が成功した場合に0を取得し、関数が失敗した場合に別の値を取得するには、複雑なコードを記述する必要があります。



はい、これは非常にナンセンスです。標準はありません。 「2016年のCでのプログラミング」からの悪いアドバイスに耳を傾ける代わりに、このドキュメントが「奇妙なコードのダウン」という素晴らしい仕事をどのように行っているかを見てください。 著者は、同じことを他の人に教えていたら、自分のコードを台無しにせずに良い例を設定したなら、問題の痕跡はないと信じています。 素朴です。 プログラマはこの標準を決して受け入れません。 あなたのコードはあいまいさに満ちた世界で生き残る必要があります。最初と反対の値にもかかわらず、trueと0は成功を意味します。 標準の作成は、SUCCESSおよびFAILUREインジケータの明確な決定によってのみ可能です。



コードが次のようになっている場合：

if (foobar(x,y)) { ...; } else { ...; }  ,      ,   success,   failure.     .   : if (foobar(x,y) == Success) { ...; } else { ...; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

整数について少し

「Programming with C in 2016」という記事の著者は、古典的なintまたはunsignedを使用する理由はないと主張しており、代わりにint32_tおよびuint32_tを参照する方が良いと主張しています。 ナンセンス！ intおよびlongコマンドは、ほとんどのライブラリ関数で初期データを入力するために一般的に受け入れられ、同じ種類の異なるタイプを要求する場合でも、一種のタイプ保護を提供し、ユーザーに通知します。



正直なところ、64ビットおよび32ビットシステムを含め、整数の誤った値を設定することは難しくありません。 はい、intを使用してポインターを制御すると、64ビットコードが破損します（代わりにintptr_t、ptrdiff_tまたはsize_tを記述します）が、実際にこれがどのように発生するかは信じられません。 最初の4ギガバイトにmmap（）を設定するだけで、ロード時にこれらのページが無効であることに注意して、ユニット/回帰テストを実行すると、問題をすばやく解決できます。 そして、それをもっと良くする方法を説明する必要はありません。

コードで最も厄介なのは、プログラマーが整数型の再定義を急いでいるということです。 それを縛ります。 u32はコードに特別な魅力を与えることを理解していますが、この要素は私を驚かせます。 しかし、コードを読む必要があります。 uint32_tやunsigned intなどの標準的なものに置き換えてください。 そして、恐ろしいことに、filesizeのような整数型を任意に作成するだけで十分です。 選択した全体に新しい意味を与えたいと思っていますが、Cプログラミングが「低」になるように設計されていることを忘れないでください。したがって、プログラマーはそのような真珠をチェックする過程で死にます。

静的および動的分析を使用する

以前のC仕様は「警告レベル」と「リント」オプションに要約されていましたが、今日では「静的分析」が代わりになりました。 コンパイラはClangを使用して、ユーザーに新しいメッセージをますます喜んでいます。gccはこれに追いついています。 また、多くは最新ではありませんが、MicrosoftコンパイラーはClangレベルで静的分析も提供します。 メカニズムはClang自体と同じですが、Clang分析のXcodeの視覚化機能は本当に印象的です。



ただし、これは一般的な静的分析にすぎません。 しかし、静的分析をより高いレベルに引き上げるセキュリティツールは他にもたくさんあります-Coverity、Veracode、HP Fortify。



これには「誤った寛容」の原則がないわけではありませんが、これは間違った定義です。 このようなコマンドをコードに記述することで、「クリーンアップ」できます。つまり、より信頼性の高い結果が得られます。 言い換えれば、ポップアップスキームを使用すると、コードを完全なものにし、不要な要素を削除できます。 静的アナライザーの厳格な監督の下でコードを記述すると、プログラミングスキルが向上します。

これらの恐ろしい中毒

数年にわたる企業の存在の後、プロジェクトは現在のシステムにのみ表示されます。 そして、それは膨大な数のシステム化されていない依存関係が蓄積するためです。 私が働いていた会社の1つで、彼らは材料を競合他社と共有しなければならないと冗談を言いました。



そして、非常に正当な理由により、この慣行は永久に修正されます。 別の会社は、チームが異なるコンパイラを使用するときに発生する統合の問題を回避するために、コンパイラのバージョンを統一することを提案しました。 しかし、このアプローチは比較的小さな問題を解決し、それははるかに深刻な問題に置き換えられています。 統合に関する問題を排除し、一種のコード再編成を実行します。



また、オープンソースには特定の困難が伴います。 依存関係が完全に文書化されることはめったにありませんが、それらに十分な欠陥があります。 その結果、ほとんどの場合、必要なコードを奇跡的にコンパイルするために、同じ依存関係の2つの互換性のないバージョンをインストールするのに多くの時間を費やします。



依存関係が少ないほど、コードの人気が高まります。 これを行うには、次のもののみが必要です。

• 依存関係を削除します。 原則として、プログラマーにとって有益な依存関係は1％のみで、残りの99％は作業を困難にします。
• 必要なソースファイルのみを使用してください。 もちろん、他のOpenSSL関数が必要でない限り、OpenSSLライブラリ全体（およびその依存関係）のすべてのプロセスを結び付ける代わりに、sha2.cファイルを追加するだけです。
• すべての依存関係のソースがツリー内にあるようにします。 たとえば、Luaは更新が必要な優れた25klocスクリプト言語です。 対応するlua-dev依存関係を追求してユーザーを自分のデバイスに任せる代わりに、ツリーでLuaソースを指定します。
• プロジェクトのソースの一部であるインターフェイス.hのファイルを忘れずに、dlopen（）を使用してプログラムの起動中にライブラリをロードします。 これは、ライブラリの機能に必要ない限り、1つまたは別の依存関係に問題がないことを意味します。 または、それなしではできない場合は、依存関係の問題を修正するための指示とともにエラー通知を準備できます。

Cの未定義の動作に対処する

ほとんどの場合、C言語がどのように機能するかをよく理解していないため、式（x + 1 <x）を検討してください。 この場合の実際の結果は5です。また、この変数が最大整数値を取得し、1を追加すると、Cがxのアクションを指定しないため、オーバーフローが発生します。 多くのコンパイラは、他のプログラミング言語（Javaなど）と同様に、このような現象をバイナリオーバーフローとして識別します。 しかし、ご存じのとおり、一部のコンパイラーはこの種の状況を自動的に不可能と分類し、関連するすべてのコードを単純に削除します。



したがって、Cのコンパイラの現在のバージョンの動作からではなく、Cの他のコンパイラがコードにどのように反応するかを分析することにより、追加の側面を掘り下げる必要があります。

おわりに

責任を負うことに慣れていない限り、Cでプログラミングを行わないでください。 バッファオーバーフロー、可変サイズオーバーフロー、スレッド同期、未定義の動作などの概念を徹底的に処理することが重要です。責任には、バグの早期検出用に設計された高品質コードの作成が含まれます。 Cプログラミングが2016年に開発するのは、これらの条件です。