加入收藏 | 设为首页 | 会员中心 | 我要投稿 西双版纳站长网 (https://www.0691zz.com.cn/)- 数据计算、IT业界、服务器、教程、云日志!
当前位置: 首页 > 运营中心 > 建站资源 > 优化 > 正文

面向Google编程的CopyPaste程序员要小心了!

发布时间:2019-10-15 04:39:08 所属栏目:优化 来源:刘欣
导读:张大胖最近接了一个C++的私活,在编程的时候需要生成一个字母和数字混合的随机字符串,张大胖不知道该怎么办,于是打开Google,输入关键字搜索,迅速在Stack Overflow找到了答案,还附有相关代码,他心中窃喜,直接复制粘贴过来,稍加修改,问题搞定,爽!

张大胖最近接了一个C++的私活,在编程的时候需要生成一个字母和数字混合的随机字符串,张大胖不知道该怎么办,于是打开Google,输入关键字搜索,迅速在Stack Overflow找到了答案,还附有相关代码,他心中窃喜,直接复制粘贴过来,稍加修改,问题搞定,爽!

面向Google编程的CopyPaste程序员要小心了!

这可能是很多程序员都干过的事情,但是一个研究显示这么做是有风险的。

1

最近一个计算机科学研究小组研究了Stack Overflow上过去十年的72483个C++代码片段,发现了69个有安全缺陷的代码片段,按照CWE (Common Weakness Enumeration) 的规范,被分成29类。

从数量上来看,69个非常少,总数量的千分之一都不到,但是让人震惊的是这69个有安全缺陷的代码片段又出现在了2859个GitHub的开源项目中!

很明显,这些代码都是程序员从Stack Overflow 复制粘贴过去的。

拿文章开头张大胖的例子来讲, 他需要用C++生成一个字母数字混合的随机字符串,但是不知道怎么办,于是就到Stack Overflow上去搜索,他找到了一个ID为440240的答案,这个答案有265个赞同,被浏览了17万多次,应该是个好答案了吧!

面向Google编程的CopyPaste程序员要小心了!

于是,张大胖“动心”了,他认为这是一段能解决问题的好代码,Copy , Paste 吧!

然而这段代码是存在着大坑的。

首先是字符串长度的问题,C/C++字符串以0结尾,带有'len'参数的函数应该把这一点考虑进来,但是这段代码只是简单的设置 s[len]=0 ,这就会导致不可预料的行为。

其次rand()函数已经是一个过时的函数了,不应该被调用了,即使是被使用,也应该先调用srand()设置一个随机数种子。

第三,使用rand() % N 试图来产生一个随机数字也不是最佳实践,因为很多随机数生成器生成数字的低字节并不是真正随机的。

看起来很简单的代码却有很多安全的漏洞,如果贸然复制粘贴到自己的项目中,就是埋了一个地雷。

2

其实,如果张大胖稍微细心一点,他就会看到这个答案有这么几个评论:

面向Google编程的CopyPaste程序员要小心了!

实际上已经有人指出代码的错误了,Velkan还明确地说,Stack Overflow应该提供一种机制,让这些过时的、废弃的答案“沉”下去,不能在这里误导大家了。

但是有多少Copy&Paste程序员会细心地看这些评论呢?

这个研究小组的科学家们非常贴心,专门开发了一个Chrome插件,当程序员去查看这些有安全缺陷的代码时,插件就会提示:这段代码有安全漏洞! 试图阻止复制粘贴,并且提供一个更好的解决方案的链接。

面向Google编程的CopyPaste程序员要小心了!

3

研究小组的科学家们就这些安全漏洞联系了GitHub项目的开发人员, 从回复来看,只有13.3%的人说他们已经Fix了,有40%的人承认这些漏洞的可能性,但是他们认为输入数据不是动态的,没有安全风险。还有13.3%的人根本不愿意修改。可见安全问题任重而道远啊!

面向Google编程的CopyPaste程序员要小心了!

希望能给Copy & Paste程序员敲响一次警钟吧!

参考资料:

https://arxiv.org/pdf/1910.01321.pdf?

https://stackoverflow.com/questions/440133/how-do-i-create-a-random-alpha-numeric-string-in-c/440240#440240

http://c-faq.com/lib/randrange.html

面向Google编程的CopyPaste程序员要小心了!

(编辑:西双版纳站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    热点阅读