Методы безопасного кодирования C

Question

Я ищу исчерпывающую запись практики безопасного кодирования на C. Поскольку я не нашел такого списка, уже существующего здесь, мы могли бы также превратить его в вики сообщества для дальнейшего использования.Я ищу решения проблем безопасности, таких как переполнение и недополнение буфера на основе стека и кучи, целочисленные переполнения и недопустимости, атаки форматной строки, разыменование нулевого указателя, атаки проверки кучи / памяти и т. Д.

Примечание: помимо кодированиятакже стоит упомянуть практики, защищенные библиотеки, защищающие от подобных атак.

LE: Как видно из этого вопроса Правила безопасного кодирования C ++ , но только для языка Си.

Answer 1

Стандарт CERT C "de facto" достаточно известен и в некоторой степени решает эти проблемы:

SEI CERT C Стандарт кодирования

На рынке должно быть несколько статических анализаторов, поддерживающих CERT C.

Answer 2

Тот же ответ Руководство по безопасному программированию для C и C ++: рецепты для криптографии, аутентификации, проверки ввода и прочее

Из описания:

Читатели узнают:

• Как избежать общего программирования ошибки, такие как переполнение буфера, условия гонки и формат строки проблемы

• Как правильно включить SSL приложения

• Как создать безопасные каналы для клиент-серверное взаимодействие без SSL

• Как интегрировать открытый ключ Инфраструктура (PKI) в Приложения Лучшие практики использования Криптография должным образом стратегии для правильной проверки вход для программ

• Как запустить программы надежно

• Как использовать файл правильно получить доступ к механизмам

• Методы для защиты приложений от обратный инжиниринг