学习笔记——Embedded System development Coding Reference guide[C Language] v3.0

Embedded System development Coding Reference guide[C Language] v3.0（以下简称ESCR）是日本IPA（

Information-technology Promotion Agency

）编写的遵循C11、MISRA C:2012等国际通用标准的嵌入式C参考规范。此资源在IPA官网上提供英语与日语版开放下载。

ISO/IEC 25010:2011规定了软件产品质量的8个特性：

“reliability”, “maintainability”, “portability”, “efficiency”, “secu-
rity”, “functionality”, “usability” and “compatibility”.

ESCR编写组认为“functionality”, “usability” 和 “compatibility” 属于初期设计阶段，和本书关系不大，“security” 虽然不再只是 “functionality” 的子特性，但与本书联系不紧密。
因此这本书的重点是

“reliability”, “maintainability”, “portability”, and “efficiency”

安全性(Security)方面只出了一个专栏，主要讲缓存溢出方面的，并给出了一个参考标准《CERT C Coding Standard, 2016 Edition》。

此外，IPA还编写了另一本讲安全的书IoT Safety/Security Development Guidelines v2.0。

Security 专栏

• 主要注意三个点：
  • 使用string库。主要是越界问题。尽量使用C11的安全函数比如strcpy_s()，并注意检查边界。
  • 处理敏感信息。四个点：
    • 不要明文储存敏感信息（请提前加密）——防止被读出，不过参照第三条，怕不是在内存(RAM)里也要加密存了...
    • 确保已被程序使用完毕的敏感信息没有写到磁盘里——毕竟磁盘的数据删不干净，能不用就不用，省得被数据恢复了。嵌入式常用的FLASH，如果采用了循环使用FLASH区的算法，其实一般也不会特意删干净。
    • 清除储存到可重用资源（比如动态内存）里的敏感信息——用过指针的都知道，delete或alloc()函数只是释放了资源不代表真的把这些资源全清成0了，所以手动清除确实更有保障。
    • 如果有函数是准备用来清理敏感资源用的，注意声明加上volatile，防止被编译器优化掉——这确实是个坑...
  • 处理不能完全信任的数据——从不在你掌控下的信息来源接受到的数据，要防止缓存溢出。注意以下几种数据类型：
    • Integer value：注意上下限。
    • Format string：比如printf()的用的带类似%s的那种。这玩意儿有导致缓存溢出的风险。书里举的例子是%n能把某个保存异常处理地址的变量赋值成恶意代码所在的地址。所以这类字符串必须通过检查
      (未完待续)