扩展 LLVM 的 Checked C 使 C 语言的空间内存更安全

Checked C 是由 Microsoft Research 组织开发的开源、合作项目，它的目标是扩展C 语言，方便程序员写出更为可靠的程序，不会出现类似缓存溢出、越界内存访问以及不正确的类型转换等问题。Checked C 的代码可以和标准C 代码共存，方便移植。

即将在IEEE Cybersecurity Development Conference 2018 上发表的一篇文章中，研究员介绍了 Checked C 主要的功能和优势。

Checked C 借鉴了许多之前 safe-C 的想法，但是二者有所不同，Checked C 的设计重点在允许增量转换的同时平衡控制、互操作以及高性能。

该语言非常重视向后兼容性，它引入了检查指针的概念，来保证静态和动态访问验证。Checked C 语言尤其重视内存访问的空间安全问题，这代表着指针在分配的内存中始终是解引用的。Checked C 的三个设计重点如下所示：

• C 指针表示得到了保留，所以 Checked C 的内存层与 C 相同。这有助于现存 C 代码库和库的互操作性。

• 显式指明分配给指针的内存块边界，降低了编译时和运行时的负担。

• 检查区域和边界安全接口让 Checked C 和原来的 C 代码的混合变成可能。完全移植过的代码将放在称为检查区域的 sp 中，在其中每个指针的访问都不会受到空间内存异常的限制。检查过的代码可以访问不安全的遗留 C 代码，这将通过边界安全的注解实现，这些注解将会添加到未检查的代码参数、返回值、功能、记录类型和全局变量中。

Checked C 给 C 语言添加了两个新的指针类型，_Ptr 和 Array_ptr。前者专门用于解引用，而后者支持指针运算。在解引用之前，编译器将动态地保证这两类指针的有效性。下面的例子展示了如何定义使用两个 _Array_ptr参数的功能：

void append(
  _Array_ptr<char> dst : count(dst_count),
  _Array_ptr<char> src : count(src_count),
  size_t dst_count, size_t src_count)
{
  _Dynamic_check(src_count <= dst_count);
  for (size_t i = 0; i < src_count; i++) {
    if (src[i] == ’\0’) {
      break;
     }
    dst[i] = src[i];
  }
}

在创建数组的时候，程序员可以使用 _Checked 关键字指定检查边界：

int buf _Checked[10]根据 Checked C 开发者所述，要让现有的 C 代码转换为使用检查指针和数组的代码需要很多代码变更工作，可能会影响大概 17.5% 行代码。为了加快进程，团队正在开发自动转换的工具。有趣的是，Checked C 部分形式化的特点可以保证任何违背空间安全的动作都将隔离在检查区域之外。今后这一方面的努力方向将扩展到动态大小数组上。

最后需要提出的是，初步基准测试显示，检查行为增加了平均 8.6% 的运行时间。Checked C 是作为 LLVM 的扩展实现的，可以点击这里下载。

查看英文原文： Checked C Extends LLVM to Bring Spatial Memory Safety to C

感谢冬雨对本文的审校。