华为C&C语言安全编程规范_V3.1.docx

《华为C&C语言安全编程规范_V3.1.docx》由会员分享，可在线阅读，更多相关《华为C&C语言安全编程规范_V3.1.docx（47页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、华为C&C+语言安全编程规范Huawei C&C+ Secure Coding StandardV3.1华为技术有限公司 版权所有 侵权必究目录0 前言目的适用范围 攻击者思维安全编码基本思想外部数据定义术语定义1 基础要求1.1 变量规则1.1.1：指针变量、表示资源描述符的变量、BOOL变量声明必须赋予初值规则1.1.2：指向资源句柄或描述符的变量，在资源释放后立即赋予新值规则1.1.3：类的成员变量必须在构造函数中赋予初值规则1.1.4：严禁对指针变量进行sizeof操作建议1.1.1：尽量使用const建议1.1.2：全局变量的访问如果涉及多个线程，必须加锁 建议1.1.3：同一个函数

2、内，局部变量所占用的空间不要过大1.2 断言(ASSERT)规则1.2.1：断言必须使用宏定义，禁止直接调用assert函数规则1.2.2：运行时可能会导致的错误，严禁使用断言规则1.2.3：严禁在断言内改变运行环境建议1.2.1：不要将多条语句放在同一个断言中1.3 函数规则1.3.1：数组作为函数参数时，必须同时将其长度作为函数的参数规则1.3.2：严禁对公共接口API函数的参数进行ASSERT操作规则1.3.3：不对内容进行修改的指针型参数，定义为const建议1.3.1：谨慎使用不可重入函数建议1.3.2：字符串或指针作为函数参数时，请检查参数是否为NULL建议1.3.3：在函数的开始

3、处对参数进行ASSERT操作（API除外）1.4 循环规则1.4.1：循环必须有退出条件1.5 异常机制规则1.5.1：禁用C+异常机制1.6 类规则1.6.1：如果有构造函数，则必须有析构函数规则1.6.2：构造函数内不能做任何有可能失败的操作规则1.6.3：严禁在构造函数中创建线程规则1.6.4：严禁出现 delete this操作规则1.6.5：如果类的公共接口中返回类的私有数据地址，则必须加const类型建议1.6.1：尽量避免定义public成员1.7 安全退出规则1.7.1：禁用atexit函数规则1.7.2：严禁调用kill、TerminateProcess函数终止其他进程规则1

4、.7.3：禁用pthread_exit、ExitThread函数建议1.7.1：禁用exit、ExitProcess函数（main函数除外）建议1.7.2：禁用abort函数2 字符串/数组操作规则2.1：确保有足够的存储空间规则2.2：对字符串进行存储操作，确保字符串有0结束符规则2.3：外部数据作为数组索引时必须确保在数组大小范围内规则2.4：外部输入作为内存操作相关函数的复制长度时，需要校验其合法性规则2.5：调用格式化函数时，禁止format参数由外部可控规则2.6：调用格式化函数时，format中参数的类型与个数必须与实际参数类型一致3 正确使用安全函数规则3.1：正确设置安全函数中

5、的destMax参数规则3.2：禁止不正确地重定义或封装安全函数规则3.3：禁止用宏重命名安全函数规则3.4：禁止自定义安全函数规则3.5：必须检查安全函数返回值，并进行正确的处理4 整数规则4.1：整数之间运算时必须严格检查，确保不会出现溢出、反转、除0规则4.2：整型表达式比较或赋值为一种更大类型之前必须用这种更大类型对它进行求值规则4.3：禁止对有符号整数进行位操作符运算规则4.4：禁止整数与指针间的互相转化规则4.5：禁止对指针进行逻辑或位运算（&、|、!、name, name) = 0) break;p = p-next;UnLock();return p;19. 性能敏感的代码，请

6、考虑采用原子操作或者无锁算法。相关指南：CERT.CON43-C. Do not allow data races in multithreaded code MITRE.CWE-366, Race condition within a thread建议1.1.3：同一个函数内，局部变量所占用的空间不要过大1. #define MAX_BUFF 0x10000002. int Foo()3. 4.char buffMAX_BUFF = 0;5.6. 程序在运行期间，函数内的局部变量保存在栈中，栈的大小是有限的。如果申请过大的静态数组，可能导致出现运行出错。 建议在申请静态数组的时候，大小不超过

7、0x1000。 下面的代码，bu申请过大，导致栈空间不够，程序发生stackoverow异常。相关指南：CERT.MEM05-C. Avoid large stack allocations1.2 断言(ASSERT)断言是一种除错机制，用于验证代码是否符合编码人员的预期。编码人员在开发期间应该对函数的参数、代码中间执行结果合理地使用断言机制，确保程序的缺陷尽量在测试阶段被发现。 断言被触发后，说明程序出现了不应该出现的严重错误，程序会立即提示错误，并终止执行。 断言必须用宏进行定义，只在调试版本有效，最终发布版本不允许出现assert函数，例如：1. #include 2. #ifdef D

8、EBUG3. #define ASSERT(f) assert(f)4. #else5. #define ASSERT(f) (void)0)6. #endif下面的函数VerifyUser，上层调用者会保证传进来的参数是合法的字符串，不可能出现传递非法参数的情况。因此，在该函数的开头，加上4个ASSERT进行校验。1. BOOL VerifyUser(const char *userName, const char *password)2. 3. ASSERT(userName != NULL);4. ASSERT(strlen(userName) 0);5. ASSERT(password

9、 != NULL);6. ASSERT(strlen(password) 0);7. .8. 以下的switch，由于不可能出现default的情况，所以在default处直接调用ASSERT：1. enum 2. COLOR_RED = 1,3. COLOR_GREEN,4. COLOR_BLUE5. ;6. .7. switch (color) 8. case COLOR_RED:9. .10. case COLOR_GREEN:11. .12. case COLOR_BLUE:13. .14. default: 15. ASSERT(0);16.17. 以下代码，SendMsg是CMsg

10、类的成员函数，socketID是成员变量，在调用SendMsg的时候必须保证socketID已经被初始化，因此在此处用ASSERT判断socketID的合法性。1. CMsg:CMsg()2. 3. socketID = INVALID_SOCKET;4. 5. int CMsg:SendMsg(const char *msg, int len)6. 7. ASSERT(socketID != INVALID_SOCKET);8. .9. ret = send(socketID, msg, len, 0);10. .11. 在linux内核中定义ASSERT宏，可以采用如下方式：1. #ifd

11、ef DEBUG2. #define ASSERT(f) BUG_ON(!(f)3. #else4. #define ASSERT(f) (void)0)5. #endif相关指南：CERT.MSC11-C. Incorporate diagnostic tests using assertions规则1.2.1：断言必须使用宏定义，禁止直接调用系统提供的assert()断言只能在调试版使用，断言被触发后，程序会立即退出，因此严禁在正式发布版本使用断言，请通过编译选项进行控制。 错误用法如：1. int Foo(int *array, int size)2. 3. assert(array !

12、= NULL);4. .5. 规则1.2.2：运行时可能会导致的错误，严禁使用断言1. FILE *fp = fopen(path, r);2. ASSERT(fp != NULL);/文件有可能打开失败3. char *str = (char *)malloc(MAX_LINE);4. ASSERT(str != NULL);/内存有可能分配失败5. ReadLine(fp, str);6. char *p = strstr(str, age=);7. ASSERT(p != NULL);/文件中不一定存在该字符串8. int age = atoi(p+4);9. ASSERT(age 0)

13、;/文件内容不一定符合预期断言不能用于校验程序在运行期间可能导致的错误。 以下代码的所有ASSERT的用法是错误的。规则1.2.3：严禁在断言内改变运行环境在程序正式发布阶段，断言不会被编译进去，为了确保调试版和正式版的功能一致性，严禁在断言中使用任何赋值、修改变量、资源操作、内存申请等操作。 例如，以下的断言方式是错误的：1. ASSERT(p1 = p2);/p1被修改2. ASSERT(i+ 1000);/i被修改3. ASSERT(close(fd) = 0);/fd被关闭建议1.2.1：不要将多条语句放在同一个断言中为了更加准确地发现错误的位置，每一条断言只校验一个条件。 下面的断言

14、同时校验多个条件，在断言触发的时候，无法判断到底是哪一个条件导致的错误：1. int Foo(int *array, int size)2. 3. ASSERT(array != NULL & size 0 & size 0);5. ASSERT(size vendorID != 0) 20.21.22.23. 例外2： 对固定长度的数组，如果用数组的头地址作为子函数参数，由于性能原因，可以不用传递其长度。 下例中，EtherAddrCopy()函数仅用于MAC地址的赋值，不会用于其他地方，且长度是可保证的，其拷贝使用的下标（或偏移）没有外部数据的影响。由于性能高度敏感，因此这里没有传入目的缓

15、冲区dst的长度。1.2.3.4.5.6.7.8.9.10.11.12.#define ETH_ALEN 6static const u8 ethReservedAddrBaseETH_ALEN = .;.void EtherAddrCopy(unsigned char *dst, const unsigned char *src)dst0 = src0;dst1 = src1;dst2 = src2;dst3 = src3;dst4 = src4;dst5 = src5;13. 14.15. int AddDevice()16. 17. unsigned char macETH_ALEN;1

16、8. .19. EtherAddrCopy(mac, ethReservedAddrBase);20. .21. 相关指南：CERT.ARR38-C. Guarantee that library functions do not form invalid pointers CERT.API00-C. Functions should validate their parametersMITRE. CWE-119, Improper Restriction of Operations within the Bounds of a Memory BuerMITRE.CWE-121, Stack-

17、based Buer Overow MITRE.CWE-123, Write-what-where Condition MITRE.CWE-125, Out-of-bounds ReadMITRE.CWE-805, Buer Access with Incorrect Length Value规则1.3.2：严禁对公共接口API函数的参数进行ASSERT操作对于设计成API的函数，必须对参数进行合法性判断，严禁在API实现过程中产生CRASH。对API函数的参数进行1. int GetServerIP(char *ip, size_t ipSize)2. 3.ASSERT(ip != NULL

18、);4.5. ASSERT操作是没有意义的。 例如，对于提供应用服务器IP的平台公共API接口这样实现是错误的：公共接口API应当对输入参数进行代码检查：1. int GetServerIP(char *ip, size_t ipSize)2. 3. if (ip = NULL) 4. .5.6.7. 规则1.3.3：不对内容进行修改的指针型参数，定义为const如果参数是指针型参数，且内容不会被修改，请定义为const类型。示例:1. int Foo(const char *filePath)2. 3. .4. int fd = open(filePath, .);5. .6. 相关指南：C

19、ERT.DCL13-C Declare function parameters that are pointers to values not changed by the function as constMISRA.C.2004.Rule 16.7 (advisory): A pointer parameter in a function prototype should be declared as pointer to const if the pointer is not used to modify the addressed object.建议1.3.1：谨慎使用不可重入函数不可

20、重入函数在多线程环境下其执行结果不能达到预期效果，需谨慎使用。常见的不可重入函数包括：rand, srand getenv, getenv_s strtokstrerrorasctime, ctime, localtime, gmtime setlocaleatomic_init tmpnammbrtoc16, c16rtomb, mbrtoc32, c32rtomb gethostbyaddrgethostbyname inet_ntoa建议1.3.2：字符串或指针作为函数参数时，请检查参数是否为NULL1. int Foo(int *p, int count)2. 3.if (p != N

21、ULL & count 0) 4.int c = p0;5.6.7. 8.9. int Foo2()10. 11.int *arr = .12.int count = .13.Foo(arr, count);14.15. 如果字符串或者指针作为函数参数，为了防止空指针引用错误，在引用前必须确保该参数不为NULL，如果上层调用者已经保证了该参数不可能为NULL，在调用本函数时，在函数开始处可以加ASSERT进行校验。 例如下面的代码，因为BYTE *p有可能为NULL,因此在使用前需要进行判断。下面的代码，由于p的合法性由调用者保证，对于Foo函数，不可能出现p为NULL的情况，因此加上ASSE

22、RT进行校验。1.2.3.4.5.6.7.8.9.int Foo(int *p, int count)ASSERT(p != NULL); /ASSERT is added to verify p. ASSERT(count 0);int c = p0;.int Foo2()10. 11. int *arr = .12. int count = .13. .14. if (arr != NULL & count 0) 15. Foo(arr, count);16.17. .18. 建议1.3.3：在函数的开始处对参数进行ASSERT操作（API除外）ASSERT用于检测代码设计上的错误，如果A

23、SSERT被触发，说明代码的设计不符合编码人员的预期。 在函数的开始处，对参数进行必要的ASSERT操作，可以在测试阶段有效地检验编码人员对代码设计上的预期。1.4 循环规则1.4.1：循环必须有退出条件循环如果没有退出条件，那么程序无法安全退出。 以下代码，在一个大循环内接收外部数据并进行处理，但没有退出条件，会导致该程序无法正常退出。4.if(msg != NULL) 5.ParseMsg(msg, size);6.FreeMsg(msg);7.8. 1. while (TRUE) 2. int size = 0;3. unsigned char *msg = ReceiveMsg(&si

24、ze);例外： 1、操作系统软件的IDLE线程，可能需要无限循环 2、操作系统在不可恢复的错误中，为避免更多错误发生，进入指令无限循环。例如：1.2.3.4.5.6.7.8.void Reboot(void)reboot(reboot_cmd);while (1) CoreWait();3、嵌入式设备的操作系统或主流程，可能使用无限循环。例如：1. void OsTask()2. 3. .4. while (1)5. 6. msgHdl = RECEIVE(OS_WAIT_FOREVER, &msgId, &senderPid);7. if (msgHdl = 0)8. 9. continue;10.11. switch (msgId)12. 13. .14.15.16.17. (void)FREE(msgHdl);相关指南：MISRA.2004.Rule 13.5 (required):