"Средний человек не хочет быть свободным. Он просто хочет быть в безопасности". - HL Menken

Я пытаюсь написать очень безопасный C. Ниже я перечисляю некоторые из методов, которые я использую, и спрашиваю, насколько они безопасны, как мне кажется. Пожалуйста, не стесняйтесь разрывать мой код / ​​предубеждения в клочья. Любой ответ, который найдет даже самую тривиальную уязвимость или научит меня новой идее, будет высоко оценен.

Чтение из потока:

Согласно учебному пособию по программированию GNU C getline:

Функция getline будет автоматически увеличивать блок памяти по мере необходимости через функцию realloc, поэтому никогда не будет недостатка места - одна из причин, по которой getline так безопасна. [..] Обратите внимание, что getline может безопасно обрабатывать вашу строку ввода, независимо от того, насколько она длинна.

Я предполагаю, что getline должен, при всех входах, предотвращать переполнение буфера при чтении из потока.

• Правильно ли мое предположение? Существуют ли схемы ввода и / или распределения, в соответствии с которыми это может привести к эксплойту? Например, что если первый символ в потоке является каким-то странным управляющим символом, может быть 0x08 BACKSPACE (ctl-H).
• Была ли сделана какая-либо работа, чтобы математически доказать, что getline безопасен?

Маллок возвращает ноль при неудаче:

Если malloc обнаруживает ошибку, malloc возвращает NULL-указатель. Это создает угрозу безопасности, поскольку к указателю NULL (0x0) все равно можно применить арифметику указателя, поэтому википедия рекомендует

/* Allocate space for an array with ten elements of type int. */
int *ptr = (int*)malloc(10 * sizeof (int));
if (ptr == NULL) {
    /* Memory could not be allocated, the program should handle 
       the error here as appropriate. */
} 

Безопасный sscanf:

При использовании sscanf я привык распределять размер подлежащих извлечению строк по размеру входной строки, надеясь избежать возможности переполнения. Например:

const char *inputStr = "a01234b4567c";
const char *formatStr = "a%[0-9]b%[0-9]c":
char *str1[strlen(inputStr)];
char *str2[strlen(inputStr)];

sscanf(inputStr, formatStr, str1, str2);

Поскольку str1 и str2 имеют размер inputStr и из inputStr не может быть прочитано больше символов, чем strlen (inputStr), кажется невозможным, учитывая все возможные значения для inputStr, вызывать переполнение буфера?

• Я прав? Есть странные угловые случаи, о которых я не думал?
• Есть ли лучшие способы написать это? Библиотеки, которые уже решили это?

Основные вопросы:

Хотя я опубликовал большое количество вопросов, я не ожидаю, что кто-нибудь ответит на все из них. Вопросы в большей степени ориентированы на те ответы, которые я ищу. Я действительно хочу изучить безопасное мышление.

• Какие еще безопасные идиомы существуют?
• Какие угловые случаи мне нужно всегда проверять?
• Как я могу написать модульные тесты для обеспечения соблюдения этих правил?
• Как я могу применить ограничения в тестируемости или доказуемо правильным способом?
• Любая рекомендуемая техника статического / динамического анализа или инструменты для C?
• Какими безопасными методами С вы следуете и как оправдываете себя и других?

Ресурсы:

Многие ресурсы были заимствованы из ответов.

• Безопасное программирование для Linux и Unix HOWTO Дэвида Уилера
• Программирование на безопасном C - SUN Microsystems
• Небезопасное программирование на примере
• Добавьте Больше NOPS - блог, покрывающий эти проблемы
• CERT Инициатива безопасного кодирования
• flawfinder - инструмент статического анализа
• Использование Thm Provers, чтобы доказать безопасность Янник Мой
• Libsafe