編程語言數(shù)百種，哪種才是最安全的？

此前我們討論過主動解決內(nèi)存安全問題的必要性。顯然僅通過工具和指導(dǎo)無法阻止這類漏洞。十多年來，內(nèi)存安全問題與CVE（常見漏洞披露）的比例非常接近。我們認(rèn)為，使用內(nèi)存安全語言可以通過工具和培訓(xùn)無法實(shí)現(xiàn)的方式來緩解這種情況。

內(nèi)存安全是編程語言的一種特性，在擁有內(nèi)存安全的編程語言中，所有的內(nèi)存訪問都有明確的定義。目前使用的大多數(shù)編程語言都通過某種形式的垃圾回收實(shí)現(xiàn)了內(nèi)存安全。然而，無法承受垃圾收集器那般繁重的運(yùn)行時(shí)的系統(tǒng)級語言（即用于構(gòu)建其他軟件所依賴的底層系統(tǒng)的語言，比如OS內(nèi)核、網(wǎng)絡(luò)棧等）通常都不是內(nèi)存安全的。

微軟修復(fù)并指定了CVE的安全漏洞中，大約70%的根本原因都是內(nèi)存安全問題。盡管我們采取了緩解措施，包括嚴(yán)格的代碼審查、培訓(xùn)、靜態(tài)分析等等。雖然許多有經(jīng)驗(yàn)的程序員可以編寫正確的系統(tǒng)級代碼，但很明顯無論采用何種緩解措施，使用傳統(tǒng)的系統(tǒng)級編程語言編寫內(nèi)存安全的代碼幾乎是不可能的。

該漏洞的修復(fù)很簡單：將“偏移檢查”移動到距離使用時(shí)更近的地方。問題在于，復(fù)雜的代碼庫中很容易出現(xiàn)這個錯誤，而且簡單地重構(gòu)代碼也可能會再次引發(fā)這個漏洞?，F(xiàn)代C++提供了span來強(qiáng)制執(zhí)行數(shù)組訪問的邊界檢查。然而，不幸的是這不是默認(rèn)值，所以是否使用span完全依賴于開發(fā)人員。因此在實(shí)踐中很難強(qiáng)制使用這種結(jié)構(gòu)。

如果編程語言能夠自動跟蹤和驗(yàn)證大小，那么程序員就不必再擔(dān)心正確實(shí)現(xiàn)這些檢查，而我們也可以確定我們的代碼中不存在這些問題。時(shí)間內(nèi)存安全指的是確保指針在解引用時(shí)仍然指向有效的內(nèi)存。

這個錯誤的原因是，太多的復(fù)雜API互相交互，程序員無法強(qiáng)制整個代碼中的內(nèi)存所有權(quán)。在[0]處，程序獲取指向JavaScript對象擁有的對象指針。然后在[1]處，由于語言的復(fù)雜性，代碼需要執(zhí)行更多的JavaScript代碼才能獲取另一個變量。在[2]出，它會使用該緩沖區(qū)和寬度，使用該指針的內(nèi)容來創(chuàng)建新的JavaScript對象。

程序同時(shí)使用了垃圾回收和手動內(nèi)存管理。垃圾回收器會跟蹤JavaScript對象，但它并不知道是否有指針指向?qū)ο蟮膬?nèi)部。由于VarToInt重入了JavaScript，JS程序可以修改狀態(tài)，并清除在[1]處創(chuàng)建過別名的那個指針的所有權(quán)。這個漏洞與迭代器失效bug類似，當(dāng)狀態(tài)被修改時(shí)，所有指向JavaScript內(nèi)部狀態(tài)的指針都可能變成無效指針。但是在瀏覽器這樣復(fù)雜的程序中，用靜態(tài)方式來確保不發(fā)生該bug幾乎不可能。該問題的根源在于給指向可修改狀態(tài)的指針添加別名。C和C++沒有相應(yīng)的工具來防止這種錯誤。但是，我們建議始終使用“智能指針”來跟蹤內(nèi)存所有權(quán)。

當(dāng)同一個進(jìn)程中的兩個或多個線程同時(shí)訪問同一個內(nèi)存地址，且至少有一個訪問是寫操作，而且線程沒有使用任何明確的鎖操作來控制對該內(nèi)存的訪問時(shí)，就會發(fā)生數(shù)據(jù)競爭。在多線程訪問共享數(shù)據(jù)的情況下，保持空間和時(shí)間的內(nèi)存安全變得更加困難，而且更易于出錯。即使只在非常小的一段時(shí)間內(nèi)共享沒有同步的內(nèi)存，也有可能被其他線程修改數(shù)據(jù)，而被修改的數(shù)據(jù)正是引用其他內(nèi)存地址的數(shù)據(jù)。這就是檢查時(shí)/使用時(shí)（TOCTOU）漏洞的原因之一，其會導(dǎo)致空間和時(shí)間內(nèi)存安全漏洞。

Jordan Rabet在Blackhat 2018上披露的VMSwitch漏洞演示了數(shù)據(jù)競爭可能造成的影響。這段代碼在虛擬機(jī)給宿主發(fā)送特定消息時(shí)被調(diào)用。這意味著，它可以以并行方式調(diào)用，來處理其他控制消息和數(shù)據(jù)包。這樣做是有問題的，因?yàn)榭刂葡⒌奶幚砗瘮?shù)使用的信息在被修改時(shí)沒有進(jìn)行任何鎖操作[0]。

解決本文提出的幾個問題需要幾種不同的度量。C++中的“現(xiàn)代”結(jié)構(gòu)（如span）至少可以防止某些類型的內(nèi)存安全問題，而其他的現(xiàn)代C++特性（如智能指針）應(yīng)當(dāng)盡可能使用。但是，現(xiàn)代C++依然不是完全內(nèi)存安全、完全沒有數(shù)據(jù)競爭的語言。更糟糕的是，這些特性使用與否，完全依賴于程序員“做正確的事情”，在大型、模糊的代碼庫中幾乎不可能強(qiáng)制這一點(diǎn)。C++也沒有能夠用安全的抽象來包裹不安全代碼的工具，意味著盡管在局部可以強(qiáng)制正確的編程習(xí)慣，但用C或C++構(gòu)建安全的組件將極其困難。

除此之外，軟件還應(yīng)當(dāng)盡可能轉(zhuǎn)移到完全內(nèi)存安全的語言，如C#或F#等通過運(yùn)行時(shí)檢查和垃圾回收來保證內(nèi)存安全的語言。畢竟，除非必要，否則不應(yīng)當(dāng)涉足復(fù)雜的內(nèi)存管理。如果出于速度、控制和可預(yù)測性等合理的理由而使用C++，那么可以考慮轉(zhuǎn)移到內(nèi)存安全的系統(tǒng)編程語言上。