C++在嵌入式应用中的安全问题

２００９-1０-27

嵌入式在线

ＨYＰEＲLINK"ｊａvａｓcrｉｐt：；"保藏｜ＨYPERＬINK"javascript：doPrinｔ(）；"打印

在嵌入式系统的软件设计中，“汇编语言+C语言”早已成为理所当然的经典组合。的确，对于硬件配置来说,汇编语言清楚明白；对于上层设计来说，C语言紧凑高效.这样的搭配能够满意大多数传统嵌入式系统应用的需要。随着技术水平的提高,今日的嵌入式系统也比过去更加深化到人们的日常生活中，大到汽车、飞机、火箭,小到手机、打印机、闹钟、手表，都可以找到嵌入式系统的踪影。然而,这看似一成不变的情况,也在悄然转变。随着网络、多媒体等技术的消灭、进展与普及,对嵌入式系统应用有了新的要求,也给了其他高级语言,格外是Ｃ＋+语言以机会。由此带来的在语言使用中的平安问题，目前虽然还未凸显，但依据以往的阅历来看,终将成为限制行业进展的新瓶颈.已有的C+＋语言国际标准虽然浩大细致，但作为一个“语言标准”，只能是尽力做得面面俱到，其目标在于构造一个语句合法性的权威依据，以约束人们对于C＋+的使用。但它并不是针对应用而写的规范，对于可能遇到的平安性问题也无法进行格外深化的探讨，更加没有平安方面的实践阅历支撑.一个针对平安方面的、被国际所认可的使用规范，无疑是Ｃ++语言在嵌入式系统中得到广泛应用的坚实基础与助推剂。1C＋＋在嵌入式应用中的机遇与挑战Ｃ++作为一门高级语言，人们在提及它时,总难免会谈到C语言.直至今日，很多人对于Ｃ++语言的生疏仍然是“Ｃ语言的超集"。这是由于Ｃ++的起源与C语言有着千丝万缕的联系。１９７8年,美国贝尔实验室的DennisRitcｈｉｅ和BｒiaｎKｅrnｉgｈan在ＢCPL以及其简化版本Ｂ语言的基础之上开发了C语言,并合作出版了《ThｅCPrｏgrammｉnｇＬaｎ-ｇuａgｅ》。C语言飞速得到了大家的认可，并广为流传.1９89年,AＮSI推出了第一个C语言的标准--X3．159—19８9，并被ISO接受,随之发布.ISO/IＥC9８９9—1990。早在Ｃ语言标准发布之前，贝尔实验室的BjａｒneStｒoustruｐ就致力于在C语言里增加类、函数类型检查以及其他的一些优秀特征，于1980年发布“CｗithＣlasｓes"。经过持续的努力，他最终完成了对Ｃ语言的改造,由此创生出一门新语言—-C++,并出版了《ＴheＣ++PrｏgrammｉngLａnguaｇｅ》一书。由于它带来了持续的影响,ISO于１998年发布IＳＯ/IEC１4８8２：1９9８;几乎同一时间,ＡNSＩ也发布了类似标准，这标志着Ｃ＋＋作为一门独立语言的标准化得到了官方的认可。统计数据表明，日常生活中一个美国人平均占用8个微掌握器，这些都离不开嵌入式系统的应用。然而嵌入式系统软件技术似乎落后于当前的软件进展形势,近年来才逐渐由汇编语言过渡到面对过程的C语言.但对于面对对象语言的应用还很有限.这一方面是由于嵌入式开发人员多年来应付有限资源的阅历而养成的保守态度,另一方面也是由于长期以来，嵌入式系统应用设计中,人们要花费很多精力在底层硬件的驱动上,功能实现也主要局限在实时操作系统和相关支撑软件的层次,并不涉及过多的应用软件开发。这种在严苛条件下追求效率与实时性的任务,其他的高级语言并没有格外的优势。最近几年,嵌入式系统领域又有了新的进展。首先，随着手机、PＤA等消费性电子产品的飞速增长，嵌入式系统的市场规模在飞速扩大,同时越来越多的智能嵌入式应用场合需要互联网的支持,这要求嵌入式系统的软件具有更好的应用性和更高的简洁性；其次,随着芯片等相关领域的技术进步,嵌入式系统工程师们不再需要时时刻刻去考虑资源是否够用了。当面对对象的高级语言参加到嵌入式系统设计中去不再遥不行准时，语言的效率则成为突出的问题。依据《ThinkinginＣ＋+》一书的总结，Ｃ＋+与Ｃ的效率差别往往在±５％,这使得C++在新一轮的嵌入式应用进展浪潮中占得先机。值得注意的是,尽管自1９９８年发布最初的C＋+标准—-ISO/ＩEC1488２：１99８以来，每５年都会对此标准进行一次更新,但是由于C＋+语言过于简洁，以及它经历了长年的演化，直到2004年，没有任何一款编译器完全支持ISOC＋+。这对于时常要面对各种严苛条件的嵌入式系统应用工程师们来说，是难以忍受的。同时，即使是符合ISOC＋+标准的语句或者格式，对于实际的应用场合来说,也存在着重大隐患，而不应当被直接接受。因此，人们迫切需要一个正式的基于平安角度考虑的Ｃ++语言使用规范.2关于MISRＡMIＳＲA（thｅMotｏrIｎｄｕstｒySoｆtｗａreReｌiabilｉtyＡs—soｃiatioｎ），即汽车工业软件牢靠性协会，于1994．年在英国成立，以“协助汽车工业供应平安、牢靠的软件”为使命,期望通过“规范指南”的形式来约束人们在汽车电子以及其他嵌入式系统开发领域或涉及平安与牢靠性的领域中对于程序语言的使用.由于这些“规范指南”都是从大量工程实践中总结的第一手阅历，因而具有极高的指导意义.经过4年筹备，它在１９98年发布了一个针对汽车工业的《GuｉdeｌinesｆorｔheUseｏfthｅCLaｎｇｔlageinＶehicｌeＢaseｄSoftwarｅ》，简称“MISRAC:１998’'，针对那些满意C语言标准,却存在平安隐患的语言使用习惯，提出了127条规章.由于它很好地解决了C语言国际标准的冗繁性，以及其中对于平安性考虑的不足性，从而得到了广泛的好评。MＩＳRＡ—C不仅成为众多汽车厂商推崇的行业标准，其影响力更是远远超出了汽车工业,得到铁路、航空航天、国防、医疗等众多领域的认可,成为“最佳实践"解决方案。2０04年，MＩSRA对于已有的规章进行改编与扩充,推出了“MIＳＲAＣ200４”，首次将该规范指南的对象从汽车工业推广到全部具有平安性要求的系统应用中去,包含了强制规章1２1条，推举规章２０条,并删除了15条旧规章，共计含有１4１条规章。时至今日,ＭISRA组织不仅是汽车工业软件规范的权威,其制定的规范指南更得到了嵌入式系统应用领域的广泛认可.考虑到近年来,C＋+语言在嵌入式系统中的应用越来越多，2００5年ＭISRAC+＋委员会成立，并于２０08年推出针对Ｃ+＋语言的《MISRAC++：20０8——GｕidｅlｉneｓfortheUＳeofｔｈeC＋＋laｎｇｕageｉncriticalsｙs—tems〉〉,以下简称“ＭISRＡC++：2008”.有爱好的读者可以联系相关网站：http：//wｗｗ．mｉｓrａ—/，购买简略的文档.ＭISRＡC++:20０8同样从推出之日起，就得到了业内外广泛关注。例如：ＬＤRＡ软件公司始终跟踪着MIS—RAＣ＋+:200８的制定进展,在MISＲAC++：2008发布时同步宣称已经完成了对工具套件产品的相应改进,使其符合MＩＳＲAC+＋:20０8标准。(LDRＡ的Tｅstbed产品曾成功用于“神舟"飞船项目的软件测试）3ＭIＳＲAC＋+概述作为规范指南，MISRAＣ++:2０08基于ＩSＯ／IEC１488２：20０3的C＋+语言国际标准,以规章(rule)的形式，给出了相关的建议。它的规章又细分为以下3种类型:①强制型（ｒｅｑuiｒed),必须符合、允许例外；②推举型(aｄvisｏry）,推举符合;③不容商议 型(dｏｃumeｎt)，必须符合、不许例外.MISRAＣ++:2００8中共给出了2０个大类的规章(编号并不连续），细分为2２8条。简略情况如表1所列。文档中全部规章的书写格式如下：每条规章之后都有简略的解释，并给出了一些简略的程序语句作为例子.下面分别针对上述3种规章类别，进行举例说明。规章0-1—1（强制）工程中不允许包含无法触及的代码上述例子里,条件推断中的赋值语句和reｔｕrn语句之后的自增语句都是在任何条件下都无法触及的死代码，不允许这样使用。规章0－1－2（强制)工程中不允许含有永久不会被执行的路径eｎumeｃ{ＲED，BＬＵE,ＧREEＮ）col；ｉｆ(ｃol＜=GREＥＮ）／/不符合规章，条件永久为真{//Wilｌalｗaysgeｔ，ｈere｝elsｅ{／／代码永久不会到达这里｝由于枚举类型有默认的初始赋值０，1,2,…,故ｃｏｌ永久≤GREＥＮ。上述例子中，含有任何条件下都不会被执行的路径,不允许这样使用。规章5－2-１0（推举)自增（＋+)/自减（—－）运算符不应与表达式中其他运算符混合使用诸如下面的例程将导致理解上的混淆以及结果的不确定，在程序设计时应尽可能避开。u8a=++ｕ８b+u8c—;／／不符合规章规章０－4－2(不容商议 )对于浮点运算(floatｉng—poinｔ）算法的使用，必须给出记录平安的使用浮点算法需要具有较高的数字分析技能和对编译器及硬件对象的深化了解。因此在使用浮点算法时，必须先进行分析：是否必须使用它、实行的方法是否可行、过程是否得到了正确的执行,并将上述结果做出记录。规章１６—６-1（不容商议 ）全部的库函数代码必须符合MＩＳＲＡC++上述这些例子只是为了让大家对ＭISRAC+＋：２00８的3种规章有肯定的生疏,我们会结合相关内容,在接下来的几篇文章中进一步商议 学习。不难发现，很多违反了MISＲAC+＋:20０8中规章的例程都是符合C＋＋语言标准的，但出于平安性考虑，应当被禁止或者谨慎使用。通览之后，往往会发现自己平常从未注意的一些编程习惯，都已经被严令禁止.它们有些是明显有碍平安性的，有些则相对隐蔽。然而ＭＩSＲＡ的号召力是不容小觑的。以嵌入式实时操作系统μＣ/OS—II为例，其2.５2版本虽然已经于2000年通过了美国航空管理局（FＡA)的平安认证,但２003年μC／OＳ-ＩＩ的作者就依据MISRＡC：１９９8规范又对源码作了相应的修改,并发布了2．62的新版本，宣称其源代码99%符合ＭISＲAC：１998的要求.４平安性问题对于平安性，MＩSRＡ给出以下5种可能的平安问题来源：开发人员的错误、开发人员对于语言的误解、编译器没有依据开发人员的预期工作、编译器本身含有错误、运行错误.这些错误的来源与实际使用的是何种计算机语言没有关系,可以说比较全面地包含了嵌入式系统开发以及其他相关的软件设计中可能导致平安问题的全部渠道。作为C＋+这样一门面对对象的高级语言(由于其与C的渊源，严格地说，C++是具有某些面对对象特征的过程语言），通过类、函数参数类型检查、模版、格外处理以及派生、继承、多态等手段，使得其在保有高效率的同时,实现了强大的功能，并带来了自顶向下的模块化程序设计理念。但编程灵敏度的提高，也令其代码简洁而易错。与Ｃ语言相比,它所面对的平安问题将更为隐蔽,更加难以发现。但就对数据的封装而言,C++远远优于C，只要参照合理的规范指南，进行项目的开发，就可以通过充分发挥C++灵敏的特点，应用到更多更广的工程领域.5行业展望标准与规范从来没有如眼下这般备受重视过.一个权威的标准或规范,不仅将成为相关领域的“金科玉律”，更是行业动向的风向标。可以说正是由于ＭＩSRＡ－C的存在，使得在高级语言种类繁多的今日，C语言的地位仍然无可替代。此次MIＳＲA携着在Ｃ语言上的巨大成功，选择了C++语言进行新的规范化尝试，不仅由于Ｃ+＋语言的群众基础深厚，更是表明白嵌入式系统领域内大多数专家的观点：如果说将来能有一门语言取代目前C语言在嵌入式系统应用中的地位的话，也只能是C+＋语言。一名成功的嵌入式系统工程师，必须是对行业动向极为敏感的,也只有这样,才能在知识爆炸的今日紧跟时代潮流。从使用Ｃ语言到使用C+＋语言是一个巨大的跨越,决不仅仅像使用“增强的Ｃ”那么简洁，需要从现在就开头学习。而从学习之初就养成的良好的语言使用习惯,将决定将来进阶的速度与可能性。MＩSRAＣ++：2０0８无疑是培育这样良好习惯的最佳手册MＩＳＲA—Ｃ:２0０４HＹＰERLINＫ”http:/／ｈｕioｒｕｉ。ｂｌog.163.cｏｍ/blog/ｓｔａtiｃ/６16１２７３720０８１2015７3327３/＂大

ＨYPERＬＩNK"ｈtｔｐ://huiorui．blog.１6３。com/blog／ｓtatｉｃ/6１6127372０0812０１573３273/＂\ｌ”#＂中

ＨYPEＲLINK＂ｈｔtｐ:／／ｈuioruｉ。bｌoｇ．163.ｃom／blog／stａｔｉc/６1６1２7３７20０8120１57332７３／＂小

MIＳRA（TｈeMotorＩnｄustrySofｔwａreＲｅlｉaｂilｉｔyAssoｃiaｔion汽车工业软件牢靠性协会）MISRA是汽车工业C语言编程指导，是目前公认的最优秀的嵌入式C语言的编码规范，在航空/航天、汽车、医疗、船舶、电信等对软件平安性要求比较高的行业得到了广泛的应用。在１9９8年版的基础上，MISＲA组织最新发布了MIＳRＡ－C:２0０4MIＳＲA-Ｃ：２00４包括141条规章，其中12１条是强制(Rｅqｕirｅd)遵守的，２0条是建议(Ａdvisoｒｙ)遵守的.MISRA官方网站：HYＰERＬINK＂http：//ｗww。misrａ.oｒｇ．uｋ/"ｗww.miｓra。ｏｒg。ukＭＩSRA规章的简略内容需要购买，印刷版本价格$76,电子版本（ＰＤF）价格£１０.全部141条规章的中英文对比如下，请参考。在以后的日子里,我还会间续写一些文章，来介绍某些规章的必要性。1１.１

全部代码必须符合ＩSO９8９9:199０标准(C编程语言标准).AllcodeｓｈaｌlｃｏnformtｏISO98９9：1990＇Pｒogｒamｍingｌaｎｇｕａｇes—C＇；1.２

软件不行依靠未定义或未指明的行为.（未指明的行为会产生不行靠性)Nｏrｅｌｉａｎｃｅshallｂeｐlaｃedonｕndeｆｉnedorunspecifiｅdbehaviｏｕr；1．3

只有当目标代码的一般定义界面标准和语言/编译器／汇编器相全都的时候才能使用多种编译器和／或多种语言。Muｌｔｉplecｏｍpilｅrsaｎｄ/orｌanｇuaｇesshａlloｎlybｅuｓｅdiftｈeｒeiｓacommonｄｅｆinｅdintｅrｆaｃesｔandaｒdｆｏroｂｊeｃtcodｅtowhiｃｈtｈeｌａngｕaｇe/compilｅrs／ａsseｍblersconfoｒm；１。4

编译器、连接器和标识符不能支持超过３１个字符的有效性。Theｃｏmｐiler/ｌinker／Ｉdｅntifｉeｒs（ｉnternalaｎｄeｘtｅｒnａl）shａｌlnotrｅlｙｏｎsignifｉcanｃeofmoｒｅtｈan31ｃharacｔers.；

１.5

浮点执行应该符合明确的浮点标准.Fｌoatｉｎgpoｉntｉｍpｌeｍｅntaｔionｓsｈpｌywｉthａdｅｆｉｎeｄfｌｏatingpｏiｎtsｔaｎdarｄ;22。1应该封装并隔离汇编语言.Assembｌｙlaｎｇｕａgeshallbeenｃaｐsuｌａtｅdandiｓolatｅd；2．2在源代码中应该只使用‘/＊．。。＊/’的注释风格.Ｓourｃｅcodｅsｈalｌoｎlyuｓe／＊...*/stｙleｃommｅnts；2。3在注释中不行以使用‘/*’。Thecｈａｒａctersequｅｎce/*shａllnotｂeusｅｄwithinmenｔ；2.4不行以注释掉部分代码.Sｅctionsｏfｃｏdｅshoｕｌｄｎotbe'ｃｏmmeｎteｄout'；32。1

必须记录全部与使用执行定义程序有关的行为.Ａllusaｇeofimpｌemｅntation—defiｎｅdbehaviourｓｈalｌbedocuｍｅnted；２。２

必须记录字符集与其编码。Ｔhｅcｈarａctersｅtandtｈeｃorrｅｓｐondｉngeｎcoｄｉｎgｓhallbedocumｅｎｔed；２。3

应该确定、记录并考虑选定编译器中的整数除法。Ｔｈｅimpleｍeｎtaｔｉｏｎegｅｒdｉｖｉsioninｔｈechosenｃompilｅｒshｏuldbeｄeｔermｉneｄ,ｄocuｍenｔeｄandｔaｋeｎintｏaｃｃｏunt.；2.４

必须记录并解译全部‘＃ｐrａｇｍａ'指示的使用.Alｌusｅsofthe＃ｐｒａgmaｄｉrecｔivｅｓhallbｅdｏcｕｍｅnteｄanｄｅxpｌained.;2．5

如果代码使用位域，则必须纪录位段的执行定义行为与位段的组装.Ｔheiｍplｅmenｔaｔioｎ-ｄefiｎedbｅhavioｕrａｎdpａckiｎｇｏfbｉｔfieｌdｓshａllbｅdoｃuｍentｅｄifｂeｉngreliｅdｕpon;2.6

全部执行代码使用的程序库必须符合本文件的规定，并必须经过适当的确认。Ａｌllibraｒiesuｓediｎｐroｄｕcｔioｎcodeshａllbｅwrittentocoｍｐlywｉtｈｔheｐｒovisioｎsｏfthisdｏcuｍenｔ,ａndsｈaｌｌhaveｂeenｓubjecttｏapｐｒｏpriatevalidａｔioｎ。；４4．１只可使用国际标准化组织（ＩSO）C语言标准定义的转义－序列。OnｌythosｅescａpesｅquenｃeｓwｈｉcharedｅfｉｎｅdｉntｈeＩSＯCstandardsｈalｌbeｕｓed．;３。2

不行使用三符组（？？x）。Ｔrｉgｒaphｓｓｈaｌlnotｂeuｓed.；5５.1内外标识符不能支持超过３１个字符的有效性。Iｄentｉｆｉｅrs(ｉnternａlandeｘｔernal）shａllnｏtrelyoｎthesignｉfｉｃancｅofmｏrｅtｈaｎ31ｃhａｒａｃｔers;

5．2内层范围标识符不行与外层范围标识符同名，否则会屏蔽那个标识符。Idｅnｔiｆｉerｓinaninnerscoｐｅshallnotuｓｅtｈesａmenameasａnｉｄenｔifieｒｉnａnｏuｔerscｏｐｅ，ａndthereforehiｄｅthaｔideｎtifｉer。;５.３‘Tyｐedeｆ’的名字必须使用唯一的标识符。Aｔｙpedefnaｍｅｓhａllｂeauｎｉquｅidenｔifiｅr.;5。4一个标记符只能用于唯一的标识符。Ａtａgnameshaｌlｂeauｎiquｅidｅntｉｆｉer；５。5不应该重用带有静态存储的对象或函数标识符.Nｏobjｅｃtorｆuｎcｔioniｄｅntifierwｉtｈsｔaｔiｃstｏrａgeｄｕｒａtｉoｎｓhoｕlｄbereuseｄ；５．６一个名字空间的标识符不行以与别的名字空间的标识符同名,结构体和联合体的成员名除外。Nｏiｄeｎtｉfieｒiｎｏneｎameｓpaceshｏulｄｈａｖethｅsaｍespelｌingａsanidｅntifieｒｉnａｎｏthernaｍeｓpacｅ，withthｅexcepｔiｏnｏfｓtrucｔurｅaｎduｎionmemｂeｒｎaｍeｓ；５。7标识符名字不行以重用。Noidｅntｉfierｎamｅshｏuldbｅｒeused；6６.1“ｃｈaｒ”型的变量只能用于字符值的存储和使用。Ｔｈｅtypechａｒｓhａlｌbｅusedoｎlｙfoｒstoragｅａｎduｓｅofｃharaｃｔerｖalｕeｓ;6。2有符号和无符号的“ｃhar"型变量只能用于数值的存储和使用。Signeｄａndunsiｇneｄcｈaｒtｙpｅshａｌlbeｕseｄｏnlyfｏｒｔｈｅｓtｏrａgeａndusｅofｎumeｒｉcｖaｌｕes;6。3基本类型应该用指示大小和有无符号的tｙｐｅｄeｆ来代替。Ｔyｐeｄefsｔｈatｉｎｄicatｅsizeａnｄｓignedｎesｓshｏulｄbeuseｄiｎｐｌacｅofthebａsictyｐｅs;6。４位域只能被定义为无符号整型或有符号整型。Bitｆieｌdsshalloｎlｙｂedeｆｉｎedtｏbeoftypeｕnｓignｅdｉｎtoｒｓigneｄｉnt．;6．5使用有符号整型的位域的大小必须至少是2位。Ｂｉｔfielｄsｏftｙｐeｓｉｇnｅdiｎtｓhallbeatleast2ｂitsloｎｇ。;7

7．１不要使用“零”以外的八进制常量与八进制的转义序列（ｏｃtａlｅsｃapｅｓeｑｕｅｎce）.Ｏctalｃonsｔaｎｔｓ(oｔｈeｒｔｈaｎｚeｒｏ）ａndｏｃｔaleｓcaｐeｓｅquenceｓshalｌnotｂｅused．；8

８．１函数必须有原型声明，原型对于函数的定义和调用必须是可见的。Ｆｕｎctiｏnssｈａllhaｖeprotoｔyｐeｄecｌarａtiｏnsandtheｐrｏｔｏｔｙｐeｓhalｌｂeｖｉsｉbｌeａｔbｏｔhthefuncｔiondeｆｉnitｉｏｎａndcaｌl．；8。2当声明或定义对象或函数的时候，必须明确规定它的类型。Ｗheｎｅvｅｒａnｏbjeｃtoｒfuncｔionｉsｄeclaｒｅdorｄeｆineｄ,itｓtyｐｅｓhallｂeexplicitｌｙｓtａｔed;8。3

对于每个函数的参数来说，声明和定义中给出的类型必须全都，返回类型也必须全都。Foreａｃhｆuｎｃtiｏｎparameｔertｈetypｅgｉｖｅnｉntｈedｅclarａtionaｎddefiｎｉｔｉonshaｌｌbeidentiｃａl，ａndtｈeｒｅtuｒnｔypｅsｓhallaｌsｏbｅidentical.;８。4

如果对象或函数被生命多次，类型必须是兼容的。Ｉｆoｂｊｅｃtsorｆunｃｔionｓaredeｃｌaredｍorｅthaｎoncetheirtypesshaｌｌbecｏｍpatiblｅ.;8.5

在头文件中不能有对象或函数的声明。Theresｈaｌｌbenｏｄefiｎitioｎsｏfoｂjectｓorfｕncｔｉonsｉnaheadｅrfｉle；8.６

函数必须在文件范围内声明。Funｃｔionsｓhallalwaｙsｂedｅclareｄatfｉｌeｓcｏｐe.；8．7

如果对象只在单个函数中被访问,那么它们必须在程序块中定义。Ｏbjecｔsｓｈaｌｌbedeｆiｎedａtｂlｏckscopeifthｅyａｒeｏnlｙacceｓsedｆｒomｗithinasｉｎｇlefunｃｔｉoｎ;８。8

外部对象或外部函数只可以在一个文件中定义,并且只能在一个文件中定义。Aneｘternalobjｅcｔorfunｃtiｏnｓhallbedｅclarｅdiｎoneｆｉｌeaｎdonlyonefｉｌｅ；8．9

有外部链接的标识符必须只有一个外部定义。Aｎidentifieｒｗiｔhextｅrｎalｌinkaｇeｓｈaｌlｈaveeｘaｃtlｙoneexternaldeｆinitiｏn．；8。1０

全部文件范围的对象或函数声明都必须有内部链接,除非必需外部链接。Ａlldeclaratｉｏnｓaｎddeｆｉnitionｓoｆｏbjectsorfunｃtiｏnsatfｉlｅsｃoｐｅｓhaｌlｈaｖｅinternａllｉnkａgeｕｎlessexternａｌｌiｎkａgeisreｑuｉred；８．1１

在有内部链接的对象和函数的定义和声明中必须使用静态存储类说明符.Ｔhｅｓｔaｔiｃｓｔoraｇeｃlasｓsｐeｃiｆiershaｌｌｂｅｕsedindefｉｎｉtｉonsaｎd

declａrａtｉｏnｓofobjeｃtsandfｕｎcｔionｓthathaveinternalliｎkａge;8．１2

当声明一个有外部链接的数组时，必须通过初始化明确规定或隐式定义它的大小。Whenａnaｒrayisdecｌaｒｅｄｗｉｔhexｔeｒnａllinkａgｅ,itｓｓｉzeshallbeｓtatedexpｌiｃiｔlｙoｒdeｆｉnｅｄｉmpｌｉciｔlyｂｙｉniｔｉalｉsatioｎ；9９。１全部自动变量在使用前必须配值.Aｌlａｕtomaｔｉcvariａblesshalｌｈaｖeｂeｅnaｓsignｅdａvａlｕｅbefｏｒebeiｎgｕseｄ．;9。2在结构体与数组非零的初始化中，必须使用花括号来指示和匹配结构。Bracesshａllｂeusｅdtoinｄiｃatｅａnｄmatcｈｔhｅｓｔrｕctuｒeｉｎｔｈenon-zeｒoinｉtialiｚａｔioｎoｆarｒaｙｓandstructｕres。；9．３在枚举表中，不行以用＇＝’结构来明确初始化除第一个成员以外的其他成员,除非全部条目都被明确初始化。Ｉnaｎeｎuｍeraｔorlisｔ，tｈｅ’＝＇ｃonstrucｔｓｈallnotｂｅusedｔoｅxpliｃitlｙｉnｉtialｉsｅmｅｍbersotｈｅrｔhanthefｉｒst,unlesｓalｌｉｔeｍsａreｅxpliciｔlｙｉnitialiｓed。；

１0１0。1整数类型表达式的值不行以被隐式地转换为别的基本类型。Thｅvaｌｕeofaneｘpreｓｓiｏnｏfｉｎｔｅgｅrtypesｈallnoｔbeｉmpliciｔｌｙｃonｖｅrteｄｔoａｄiｆferenｔundｅｒｌyiｎgtｙpe；10。2

浮点类型表达式的值不行以被隐式地转换为别的类型。Tｈｅvａｌuｅofａnexｐｒesｓｉｏnｏfｆｌoatiｎｇtypeｓhallnｏtbeiｍplicitlyconvertｅｄtoａｄiffeｒenttｙpe；１0.3

整数类型的简洁表达式的值只可能被转换为比它更有限的具有和表达式的基本类型相同符号的类型.Tｈevaluｅofａcompleｘexpｒessiｏnｏｆｉntegｅrtypｅmａyonlyｂeｃasttoａtypeｔhatiｓnaｒｒｏweｒanｄofｔhesaｍeｓignｅdｎeｓｓａstheuｎｄｅrlyiｎｇtｙpｅｏftｈｅeｘｐresｓｉｏn;１０.４

浮点类型的简洁表达式的值只可以被转换为比其更有限的浮点类型.Thevalｕeofaｃｏmpleｘｅｘpreｓsｉonoｆfｌoaｔtypeｍａｙonｌyｂecａsttｏnarrowerfloaｔｉngtypｅ;１0。５

如果位操作符＇～’和’<＜＇应用于基本类型无符号字符型或无符号短整型的操作数，结果会立即转换成操作数的基本类型。Ｉfthebitwisｅopeｒator~ａｎｄ＜〈arｅａｐplieｄｔoanoｐｅｒandofundｅｒｌyiｎｇｔypｅuｎsｉgnｅｄcｈａrｏｒuｎsｉgｎeｄｓhｏrt，ｔｈereｓultshａllbeｉmｍediatｌycaｓttｏｔｈeunｄｅrlｙiｎgtypeoｆthｅoｐerand;10．6

无符号类型的全部常量都必须加上后缀＇U'.Ｔhｅ＇U＇suffｉxshallｂｅapplｉeｄtｏallconstａｎtsｏｆｕnsignｅｄｔｙｐes；

1111．1指向函数的指针不能转换成除整型以外的任何其他类型。Coｎveｒsｉｏnｓhallｎoｔbeperformｅｄｂeｔweenapoiｎtｅrｔoafunctionaｎdaｎytypeｏtherthaｎaｎinteｇｒaｌｔypｅ；11。2指向对象的指针不能转换成除整型、另一个指向对象的指针或指向void的指针以外的任何其他指针.Cｏｎvｅrｓionshａllnoｔbeｐerformｅdｂetｗｅenａpointertｏanoｂjectａｎｄanytyｐｅoｔherｔhanａninｔeｇraltypｅ，ａnotｈerｐｏinｔertoaobjｅctｔypｅｏrapｏinｔｅrｔｏvoid;11.3不行以进行指针类型和整数类型之间的类型转换。Acasｔshouｌdnoｔbeperforｍedbetweｅnａpｏinteｒtypｅandａniｎｔｅgralｔｙpe；11．4不行以进行一对象指针和另一对象之间的类型转换。Acastｓｈoｕｌdnotbeｐｅrforｍeｄbetweｅnａpointertooｂjecttｙpｅａndaｄｉｆferｅｎtｐoｉnterｔoｏbjecttype；

１1。5不行以进行从通过指针访问的类型中移除任何不变或可变限定条件的转换。Acastsｈallnｏｔbeｐｅｒformeｄthatremoｖesanyconｓｔｏｒvoｌａtilｅｑｕaliｆicaｔionfｒoｍtheｔypeaｄｄrｅｓｓedbyapoiｎter；12１２.1

在表达式中，C操作符的优先规章应该设置限制相关性。ＬimitedｄｅpeｎdenceshouldbepｌａｃedonＣ＇sｏpｅｒａtｏｒｐreceｄenｃｅｒｕｌｅsｉｎexprｅssionｓ。;１２。2

在标准允许的任何赋值挨次下表达式的值都必须相等。Ｔｈevalueｏfａｎexpressｉoｎshallｂｅtheｓameｕnderanyｏrdeｒｏfevaluationtｈattｈesｔandaｒdpeｒmｉts．;12.3

含有副作用的表达式中应该不使用ｓizｅoｆ操作符。Tｈeｓizeofｏpeｒaｔorsｈｏｕｌｄｎｏtbｅuｓedｏneｘpressｉonstｈａtcontａｉnsidｅｅfｆｅctｓ.;１２.4

规律'&＆’或规律＇｜｜'操作符的右操作数不能含有副作用.Theｒｉgｈｔhandopeｒａndofalogiｃａｌ＆&or｜|ｏpeｒａtorshalｌｎｏtconｔainｓｉdeｅffeｃtｓ。；

１２．5

规律‘＆&’或‘｜|'的操作数必须是基本表达式。Ｔｈeｏpｅｒandsofaloｇicａｌ＆＆oｒ||shａlｌｂeprimary－eｘｐreｓｓｉons．;12。６

规律操作符（＆＆，｜｜和！)的操作数应该是有效的布尔变量。有效的布尔表达式不行以被作为除了(＆＆，｜｜和!)以外的其他操作符的操作数来使用。Tｈeｏperanｄsoｆaｌｏｇicａｌoｐerators(＆＆，｜｜and！）shoｕｌdbeｅｆｆｅctivｅｌyBｏoleａn.ExｐreｓsiｏnｓｔhaｔareｅffectｉvｅｌyBooleaｎshｏｕldｎｏtbｅｕseｄasｏｐerａｎｄstｏoperatｏrsoｔheｒtｈａn

（＆＆，|｜ａnd！)．；12.７

位操作符不能应用于基本类型是有符号类型的操作数。Bitｗiseoperatorsshaｌｌnｏtbｅappliｅdｔoopeｒａnｄswｈoseunｄｅrlｙiｎgtypｅｉssｉgneｄ;12。8

位移操作符的右操作数必须间于零和一个比左操作数的基本类型的位宽更小的数之间。Tｈeｒiｇhthanｄoｐerａnｄofashiftｏｐerａtoｒｓhaｌｌlieｂｅtｗeenzｅroandｏｎelesｓtｈantheｗidtｈinｂitsoｆtheunｄｅｒｌｙinｇtypeoｆｔheleｆｔhａndoperａnd。；１2．９

一元减法操作符不行以被应用于基本类型为无符号型的表达式.Tｈeunarymｉnｕsoperatoｒｓhaｌｌnｏtbｅａpｐlｉｅdtｏaｎexｐreｓsioｎwhｏseunｄｅｒlyinｇtypeiｓuｎsiｇnｅd.;12.１０

不行以使用逗号操作符。Ｔhecommaopeｒａｔｏrｓhａｌlｎotbeｕsｅｄ。；

12。11无符号整型常量表达式的赋值不应该导致回转。Ｅｖａｌuatｉｏnｏfcoｎsｔantuｎｅgerexｐressｉｏnsｓhouｌdnｏｔleａdtowrａｐ-aroｕｎｄ．；12。1２

不行以用浮点值的基本比特表示法。Thｅundｅｒlyiｎｇbitｒepresenｔａｔionsofｆlｏating—poiｎtvaluｅsshａllnｏｔbｅused．；12.１３在表达式中递增（＋+）和递减（－－)操作符不能与其他操作符混合使用。Theincｒeｍenｔ（＋+)anｄdecrement(—-）operatoｒsｓhouｌｄnoｔbemiｘedwｉｔｈoｔheroperatorｓiｎａnexpｒｅsｓiｏn；

1３13.1在产生布尔值的表达式中不能使用赋值操作符。AsｓｉgnmentoｐｅraｔoｒsｓhallnｏtbｅｕsｅdｉnｅxｐresｓionｓthａtｙiｅlｄaBoｏｌeａｎｖaluｅ．;1３．２除非操作数是有效布尔变量，否则应该明确测试这个值为非零值。Tｅstsofavaｌuｅａgaｉnstzeｒoshouldbemadeeｘplicit,ｕnleｓｓtｈｅｏpｅｒandiseffectivｅlyBoｏｌｅan;13。3浮点表达式不能用相等或不相等来测试.Floating-pointｅｘｐreｓsionsshaｌｌｎotbeｔｅstｅdｆorequａlityoｒinequalｉtｙ.；1３.4一个‘fｏｒ’语句的掌握表达式不行以包含浮点类型的对象。Thecontrｏlｌｉnｇeｘpｒessiｏnofaforstatemeｎtsｈaｌlnｏｔｃoｎtaiｎａnyobjｅｃtsｏffloatinｇtypｅ;１3.5’for'语句的三个表达式只能用于循环掌握。Tｈｅthrｅｅｅxpressionsｏfａｆorsｔatｅｍentsｈａlｌｂecｏｎｃernｅdoｎlywｉｔhlｏopcｏnｔｒｏｌ;13。6用于迭代计数的foｒ循环内使用的数值变量不应该在循环体内修改。Numericvarｉａbleｓbｅiｎgｕｓedwitｈiｎaforlooｐforｉｔｅratiｏｎcouｎｔingｓhoｕｌdnotｂｅmodifｉｅｄｉnthｅbodyofｔheｌｏop.;13。7不允许结果不变的布尔操作。Bｏoｌeanopeｒａｔionｓｗhｏsｅｒｅsultsareｉnvariantｓｈaｌｌnoｔｂeｐｅrmitted"；

1４１４.1不行以存在不能到达的代码。Theｒｅshalｌbenoｕnreacｈabｌecode.；14。2全部的非空语句,要么不管如何执行都会至少产生一个副作用或者导致掌握流的转变.Aｌlnon—nullsｔａｔemｅnｔｓshａlleｉtherhaｖｅａtlｅasｔoneｓidｅeｆｆｅcthowｅvereｘecutedorcausｅconｔrolｆlowｔochａnge；14。3在预处理之前，空语句只能自己单独消灭在一行；假如跟在空语句后面的第一个字符是空格符的话后面可以跟一个注释。Ｂｅｆoreｐreｐｒｏceｓｓiｎｇ，anｕllstateｍｅntshallonlｙocｃuｒoｎalineｂｙitｓｅlf；ｉtmayｂefｏllｏwｅｄbyacomｍentpｒovｉｄｅdｔhaｔｔhｅfｉrstchａｒａｃterｆｏlｌoｗｉngｔｈeｎullstatemeｎtiswhｉte－sｐａceｃharaｃter;14。4不行使用‘ｇotｏ’语句。Thegotosｔａｔｅmeｎtshallｎｏtbｅused.;14．5不行使用‘cｏntiｎuｅ’语句。Ｔhｅcｏｎｔiｎuｅstaｔｅmenｔsｈallnotbeuｓed．；14．６任何迭代语句最多只能有一个bｒｅak语句用来终止循环。Forａｎyitｅrａtiｏnstaｔemｅｎtｔhereｓhaｌｌbｅatmｏｓtoneｂreaｋｓｔateｍｅｎｔusedfｏｒｌoopｔｅｒminaｔｉon;1４.7函数中在函数的结尾必须有一个单独的退出点。Ａfunctioｎｓhallhaveaｓｉｎglepｏintｏｆexiｔattheeｎdofｔｈｅfｕnctｉｏn;14。8构成'switch’，’ｗｈile’,’dｏ。．.whilｅ’或’ｆor'语句的主体的语句必须是复合语句。Thestatemｅｎｔfoｒmiｎgｔhｅｂodyofａswitcｈ，ｗhｉle，do.。。ｗhileｏrｆｏrｓtａｔementsｈallbeacoｍｐｏuｎｄstatemenｔ；1４．9'ｉｆ'表达式结构后面必须跟一个复合语句。'else’关键字后面必须跟一个复合语句或跟另一个'iｆ’语句。Anif(expresｓion）ｃonstｒuｃtｓｈａｌlbefoｌlｏwedbyacompｏundsｔatemｅｎt.Ｔｈeｅlsekeywordshalｌｂefoｌlowｅdｂｙeｉtheraｃｏmｐoundｓｔａｔement，oｒaｎｏthｅrｉfｓtatｅmｅnｔ；14。10全部的＇if.．。elseiｆ'结构都应该包含一个最终的’else＇子句。Ａllif．．.elseiｆcｏnstrｕctsshoulｄcｏntainafｉnaleｌseclausｅ。；

１515。0‘ｓwitch’语句必须遵守ＭIＳＲA-C的语法。AｓwiｔchstaｔemｅnｔsｈallｃoｎfｏｒmtｏMISRA-Csｙｎtaｘ；１5.１当最内围的复合语句是‘switch'语句的正文时才可以使用‘sｗitｃh’标记。Asｗitｃhlａbeｌshaｌloｎｌybｅusｅdwhenｔhemｏｓtclｏsely－encloｓiｎgｃomｐouｎdsｔatemeｎtｉsｔheboｄyofａswｉｔｃhsｔatｅｍｅｎｔ；1５。2无条件的‘break’语句将会终止全部非空的‘ｓwitｃh’子句。Anunｃonditiｏnalbreakｓtateｍentｓｈａｌｌtermiｎａｔeeveｒｙｎoｎ—empｔｙsｗｉｔchclausｅ；15．3‘switch'语句的最后子句必须是‘ｄeｆａuｌｔ’子句。Ｔhefｉnalcｌaｕｓeofａswiｔchｓtａｔemeｎtｓhallｂeｔhｅdｅfaulｔclauｓe;１5。4

'switch＇表达式不应该表示有效布尔变量的值。AsｗiｔchｅｘｐｒｅssionshouldｎｏtreprｅseｎtaｖalｕｅthａｔｉseffectivelyＢoｏlean;15．5全部‘ｓwitｃｈ’的语句必须至少有一个‘ｃａｓe'子句。Ｅｖｅryｓwitｃｈsｔatemｅntｓhaｌｌhａvｅａtｌｅaｓtonecasecｌａuｓｅ;１6１6.1函数不行以使用类型和数量不确定的参数来定义。Fuｎcｔｉonsshａllｎｏtbedｅfｉｎｅdwiｔｈvaｒiableｎｕmｂｅrｓｏfaｒｇumeｎtｓ.；

１6。2函数不行以直接或间接地调用自己。Fuｎctionsｓｈａｌｌｎotcaｌlthemselｖes，eitｈeｒｄireｃｔｌｙoｒindｉｒectlｙ.；１6．３函数的原型声明中全部参数必须有标识符。Identifiｅrsｓhaｌlｂｅgivenfｏraｌloftheparametｅｒsｉnafuｎctｉoｎproｔotｙpeｄｅclａration.;16。4函数声明与函数定义中的标识符必须全都。Theidentifｉｅrｓuｓedinｔhｅdｅｃｌaｒatioｎanｄｄefiｎitｉｏnofafｕncｔｉonsｈaｌlｂｅiｄeｎｔiｃａl.；16.５无参数的函数必须使用’ｖｏiｄ'参数类型声明.Funcｔｉｏｎswｉｔｈnopaｒameｔersｓｈaｌlbｅdｅclａreｄwitｈｐarａｍetertyｐｅｖｏiｄ.；

1６。６传递给函数的参数个数必须跟声明参数个数全都。Ｔheｎｕmberofaｒｇumenｔspaｓsedtoａfunｃtionsｈallmatｃhthｅnｕｍｂｅroｆpａｒａｍeteｒs．；

１6．7如果函数原型中的指针参数不被用于转变寻址对象,此指针应被声明为指向常量的指针。Apoｉnteｒｐaｒaｍeterinafｕncｔionｐroｔｏｔypeshoｕlｄbｅｄecｌareｄaspｏinterｔoｃonstifthｅpoinｔerisｎoｔｕsｅｄtomｏdifｙthｅaddｒｅsseｄobjｅｃt.；16.8返回类型非ｖｏiｄ的函数的全部推出路径都必须有明确的带有表达式的ｒｅtｕrn语句。Ａllｅxｉtpａｔhｓｆrｏmａfuncｔiｏnｗithnoｎ—voｉｄreturntypｅsｈallhaｖeanexpliｃitretuｒnstａtementwithａｎｅｘpressioｎ．;16。9使用函数标识符时必须前面带＇＆’或者带有一个用’()'括起来的参数表,其中参数表可以为空.Afuncｔiｏｎiｄeｎtiｆieｒshaｌlonlｙｂeuｓeｄwｉtheiｔherａpreｃeｄing&,orwithaｐａrｅｎtｈｅsiseｄpaｒａｍｅｔｅrｌist，whichmａｙbeｅmpty．；１６．10如果一个函数返回错误的信息，应该测试这个错误的信息。Iｆafｕncｔｉoｎｒｅturｎserｒｏrinfｏｒmatiｏｎ，tｈｅnthatｅｒrorinｆormatioｎｓhouldbｅteｓｔeｄ。；17１7．1指针运算只能应用于指示数组或数组变量地址的指针之间。Pointeraritｈmｅtｉｃshａlloｎlyｂeａpｐｌｉedｔｏpｏinterｓｔhａtaddressanaｒｒaｙorarrａyelemeｎｔ。；1７.２指针的减法只能应用于指示同一个数组的元素地址的指针之间。Poiｎｔerｓubｔｒａctiｏｎｓhａｌloｎlybeappｌiedtopointｅrｓthａtaddrｅｓseleｍenｔsoｆtｈｅsamearｒay.；1７．3不行使用‘〉’，‘>='，‘〈’或‘〈=’于指针类型，除非其是指同一数组的指针。＞,>=，〈，＜=shaｌｌnotｂeaｐplｉｅｄtｏｐointｅrtypｅｓｅxcepｔwｈerｅtｈｅyｐointｔothesameａrrａy.;

１7.4只有数组下标的形式允许使用指针运算。Arrａｙinｄeｘinｇsｈａlｌbethｅｏｎlyaｌｌowｅｄformofｐointerａrｉthmetiｃ.;１７。5对象声明所包含的间接指针不应该超过2层.Thedｅclaraｔiｏnｏｆobjecｔsshouldｃｏntainｎomoｒethan2ｌevｅｌsofpｏiｎterｉnｄirecｔion.；

1７.6自动存储的对象的地址不能赋给对象终止以后还可能连续存在的对象。Tｈeadｄrｅssｏfａnobjecｔwｉthautomａticstｏｒaｇeｓhａlｌｎotbｅaｓｓｉgnedｔｏaｎoｂjｅctthａtmaypersiｓtafteｒｔheobjecｔhａsceａｓedtoｅxist。；１８18.１全部结构体与联合体类型必须在翻译单位完成。Ａlｌstｒｕctｕrｅoｒunioｎｔypesｓhａllｂｅcompleteattｈeｅndｏfatransｌatiｏｎｕniｔ。；1８。2不行以把对象支配给重叠对象。Anoｂjｅctｓhalｌnｏtbeaｓsｉgnｅｄｔoａnovｅｒlappiｎgoｂjeｃt．;１８．３为了无关的目的不能重用内存空间。Ａnarｅａoｆｍｅmorysｈaｌlnoｔｂereuseｄｆorunｒeｌaｔedpurｐoses.;

1８.４不行使用联合体。Uｎionｓｓhａｌlｎｏtｂｅｕsｅd；191９.１文件中，在#inｃｌudｅ语句之前只可使用其他的预处理指令或注释。＃ｉｎｃｌudｅstaｔｅmeｎtsinａfｉｌeshalloｎｌｙｂeprecededｂyotheｒpre－pｒoceｓｓordirectｉｖesorcoｍｍentｓ.；19。2在#iｎｃlude指令的头文件名中不应该消灭非标准字符。Non—standardcｈarａcteｒｓｓｈouｌdnotoccuｒiｎhｅａｄｅｒfilenaｍesin＃incｌｕdediｒectives.；

19.3＃include指令之后必须有〈fｉlenａｍe>或\"fileｎamｅ\＂的序列。The#ｉncｌudeｄirecｔiｖeｓｈallbｅfollowｅdbyeithera＜ｆiｌenａmｅ>oｒ\＂filename\”seqｕencｅ。;1９．4C语言的宏只可以扩展为使用花括号的一个初始化表达式、一个常量、一个使用圆括号的表达式、一个类型的限定词、一个存储类的说明符或者一个‘ｄo－whiｌｅ-ｚeｒｏ’的结构。Ｃmａｃｒosｓhalｌｏnｌｙeｘpａｎdtｏaｂraｃｅdinitiaｌｉsｅr,aconｓtant，aparｅｎtｈesｉsedeｘpｒeｓsion，aｔｙpｅqｕalifｉer，astorａgｅcｌａsssｐeciｆier,oｒaｄo-wｈile-zerｏcoｎｓtｒuct。;1９．5宏不行以在一个块中被＃ｄｅｆine和#ｕnｄｅｆ.Ｍａcrｏsｓhaｌlnotｂe#defiｎe’dａｎd＃unｄef'dwitｈiｎablｏｃk。；

19.6不行使用＃ｕnｄef.＃ｕndefｓｈaｌｌnotｂeuｓｅｄ．;1９.７与宏相比应该优先使用函数.Afunctionｓhｏｕlｄbｅｕsｅｄinprefｅｒeｎcetoａｍacｒo．;１9．8使用类似函数的宏时必须调用其全部的参数。Afunctｉｏn－likeｍａcroshalｌnｏtbeiｎvoｋedｗｉｔhoutａlｌoｆitｓarguments;19。9类似函数宏的参数不行以包含类似预处理指令的标记。Aｒgｕmｅntｓtｏafuｎctiｏｎ-likemaｃｒoｓｈalｌnotcｏnｔainｔokenｓthatｌooklikeｐｒe-ｐrocessｉnｇdiｒectｉｖｅs．;19．10类似函数宏的定义中每个参数的实例必须放在圆括号中，除非其是‘＃’或‘#＃’的操作数.Inthedefｉnｉtionoｆafuncｔioｎ—likｅmacｒoeachinstａncｅofaparameｔersｈａllbeenｃlｏｓｅｄｉnpａreｎｔheｓｅsuｎlessｉｔiｓｕｓedａstheoperandof＃or＃＃。；１９．11预处理指定中的全部宏标识符都必须在使用前定义,除非在#ifdｅｆ和＃ifndｅｆ预处理指令和definｅ（）操作符中。Ａlｌmacroidｅｎｔifｉeｒｓinprｅpｒｏcｅｓs