C/C++セキュアコーディング の商品レビュー

MISRA Cが静的な部分集合を規定しようとしているのに対して、ある程度動的な処理についても検討している。 ネットに掲載されている内容は、構造が時々変わったり、内容の更新があり、どの時点で検討するとよいか迷うことがある。ネット上のBibliographyがリンク切れが多く、数年前に調べて作り直した。年に１度は確認するとよいかもしれない。 SEI CERT C Coding Standard https://wiki.sei.cmu.edu/confluence/display/c/SEI+CERT+C+Coding+Standard SEI CERT C++ Coding Standard https://wiki.sei.cmu.edu/confluence/pages/viewpage.action?pageId=88046682 改定に協力したBibliography https://wiki.sei.cmu.edu/confluence/display/c/AA.+Bibliography 「人生で影響を受けた本100冊」の１冊。https://qiita.com/kaizen_nagoya/items/16af53acbb147a94172e

書名はセキュアコーディングとあるが、全てのC/C++プログラマが読んで理解すべき内容の本。 プログラミング全般の知識だけでなく、ハードウェアの上でソフトウェアがどう動いているか、を理解することの必要性とそれをふまえてどうプログラミングしたらよいかが、体系化されています。 また、普段なかなか耳にしないけど重要な言語仕様(特に整数演算)も解説されています。 windowsとlinux両方の事例とサンプルコードも多く載っているので、高度な内容でも理解しやすいように構成されていると思います。 攻撃者はプログラマに入力される様々なデータを使って攻撃を仕掛けます。 それを防ぐためにはいかなる入力をされても問題が発生しないプログラムを作らないといけません。 攻撃のきっかけになるのは、例外発生やセグメンテーションフォルトなどによる異常終了です。 初心者プログラマだとよくやってしまいますが、その危険性を理解して正しくコーティングするために必要な知識をこの本から吸収して欲しいと思います。