安全 C 编码实践

Question

我正在寻找 C 语言安全编码实践的全面记录。由于我还没有找到这样的列表，我们不妨将其放入社区 wiki，以供进一步参考。我正在寻找安全问题的解决方案，例如基于堆栈和堆的缓冲区溢出和下溢、整数溢出和下溢、格式字符串攻击、空指针取消引用、堆/内存检查攻击等。

注意：除了编码实践之外，还可以防御的安全库针对此类攻击也值得一提。

LE：如本问题安全 C++ 编码实践所示，但仅适用于 C。

Answer 1

CERT C“事实上的”标准相当知名，并在一定程度上解决了这些问题：

SEI CERT C 编码标准

市面上应该有好几款支持 CERT C 的静态分析仪。

Answer 2

相同的答案 C 和 C++ 的安全编程手册：密码学、身份验证、输入验证和密码学的秘诀更多

从描述中：

读者将了解到：

• 如何避免常见编程
  错误，例如缓冲区溢出，
  竞争条件和格式字符串
  问题

• 如何正确启用 SSL
  应用程序

• 如何创建安全通道
  客户端-服务器通信无需
  SSL

• 如何整合公钥
  基础设施（PKI）进入
  应用程序 使用最佳实践
  正确的密码学技术和
  正确验证的策略
  输入到程序

• 如何启动
  安全地运行程序

• 如何使用文件
  正确的访问机制

• 技术
  用于保护应用程序免受
  逆向工程