編程語言數(shù)百種，哪種才是最安全的？

此前我們討論過主動解決內存安全問題的必要性。顯然僅通過工具和指導無法阻止這類漏洞。十多年來，內存安全問題與CVE（常見漏洞披露）的比例非常接近。我們認為，使用內存安全語言可以通過工具和培訓無法實現(xiàn)的方式來緩解這種情況。

內存安全是編程語言的一種特性，在擁有內存安全的編程語言中，所有的內存訪問都有明確的定義。目前使用的大多數(shù)編程語言都通過某種形式的垃圾回收實現(xiàn)了內存安全。然而，無法承受垃圾收集器那般繁重的運行時的系統(tǒng)級語言（即用于構建其他軟件所依賴的底層系統(tǒng)的語言，比如OS內核、網(wǎng)絡棧等）通常都不是內存安全的。

微軟修復并指定了CVE的安全漏洞中，大約70%的根本原因都是內存安全問題。盡管我們采取了緩解措施，包括嚴格的代碼審查、培訓、靜態(tài)分析等等。雖然許多有經(jīng)驗的程序員可以編寫正確的系統(tǒng)級代碼，但很明顯無論采用何種緩解措施，使用傳統(tǒng)的系統(tǒng)級編程語言編寫內存安全的代碼幾乎是不可能的。

該漏洞的修復很簡單：將“偏移檢查”移動到距離使用時更近的地方。問題在于，復雜的代碼庫中很容易出現(xiàn)這個錯誤，而且簡單地重構代碼也可能會再次引發(fā)這個漏洞?，F(xiàn)代C++提供了span來強制執(zhí)行數(shù)組訪問的邊界檢查。然而，不幸的是這不是默認值，所以是否使用span完全依賴于開發(fā)人員。因此在實踐中很難強制使用這種結構。

如果編程語言能夠自動跟蹤和驗證大小，那么程序員就不必再擔心正確實現(xiàn)這些檢查，而我們也可以確定我們的代碼中不存在這些問題。時間內存安全指的是確保指針在解引用時仍然指向有效的內存。

這個錯誤的原因是，太多的復雜API互相交互，程序員無法強制整個代碼中的內存所有權。在[0]處，程序獲取指向JavaScript對象擁有的對象指針。然后在[1]處，由于語言的復雜性，代碼需要執(zhí)行更多的JavaScript代碼才能獲取另一個變量。在[2]出，它會使用該緩沖區(qū)和寬度，使用該指針的內容來創(chuàng)建新的JavaScript對象。

程序同時使用了垃圾回收和手動內存管理。垃圾回收器會跟蹤JavaScript對象，但它并不知道是否有指針指向對象的內部。由于VarToInt重入了JavaScript，JS程序可以修改狀態(tài)，并清除在[1]處創(chuàng)建過別名的那個指針的所有權。這個漏洞與迭代器失效bug類似，當狀態(tài)被修改時，所有指向JavaScript內部狀態(tài)的指針都可能變成無效指針。但是在瀏覽器這樣復雜的程序中，用靜態(tài)方式來確保不發(fā)生該bug幾乎不可能。該問題的根源在于給指向可修改狀態(tài)的指針添加別名。C和C++沒有相應的工具來防止這種錯誤。但是，我們建議始終使用“智能指針”來跟蹤內存所有權。

當同一個進程中的兩個或多個線程同時訪問同一個內存地址，且至少有一個訪問是寫操作，而且線程沒有使用任何明確的鎖操作來控制對該內存的訪問時，就會發(fā)生數(shù)據(jù)競爭。在多線程訪問共享數(shù)據(jù)的情況下，保持空間和時間的內存安全變得更加困難，而且更易于出錯。即使只在非常小的一段時間內共享沒有同步的內存，也有可能被其他線程修改數(shù)據(jù)，而被修改的數(shù)據(jù)正是引用其他內存地址的數(shù)據(jù)。這就是檢查時/使用時（TOCTOU）漏洞的原因之一，其會導致空間和時間內存安全漏洞。

Jordan Rabet在Blackhat 2018上披露的VMSwitch漏洞演示了數(shù)據(jù)競爭可能造成的影響。這段代碼在虛擬機給宿主發(fā)送特定消息時被調用。這意味著，它可以以并行方式調用，來處理其他控制消息和數(shù)據(jù)包。這樣做是有問題的，因為控制消息的處理函數(shù)使用的信息在被修改時沒有進行任何鎖操作[0]。

解決本文提出的幾個問題需要幾種不同的度量。C++中的“現(xiàn)代”結構（如span）至少可以防止某些類型的內存安全問題，而其他的現(xiàn)代C++特性（如智能指針）應當盡可能使用。但是，現(xiàn)代C++依然不是完全內存安全、完全沒有數(shù)據(jù)競爭的語言。更糟糕的是，這些特性使用與否，完全依賴于程序員“做正確的事情”，在大型、模糊的代碼庫中幾乎不可能強制這一點。C++也沒有能夠用安全的抽象來包裹不安全代碼的工具，意味著盡管在局部可以強制正確的編程習慣，但用C或C++構建安全的組件將極其困難。

除此之外，軟件還應當盡可能轉移到完全內存安全的語言，如C#或F#等通過運行時檢查和垃圾回收來保證內存安全的語言。畢竟，除非必要，否則不應當涉足復雜的內存管理。如果出于速度、控制和可預測性等合理的理由而使用C++，那么可以考慮轉移到內存安全的系統(tǒng)編程語言上。