张大胖最近接了一个C++的私活,在编程的时候需要生成一个字母和数字混合的随机字符串,张大胖不知道该怎么办,于是打开Google,输入关键字搜索,迅速在Stack Overflow找到了答案,还附有相关代码,他心中窃喜,直接复制粘贴过来,稍加修改,问题搞定,爽!
这可能是很多程序员都干过的事情,但是一个研究显示这么做是有风险的。
1
最近一个计算机科学研究小组研究了Stack Overflow上过去十年的72483个C++代码片段,发现了69个有安全缺陷的代码片段,按照CWE (Common Weakness Enumeration) 的规范,被分成29类。
从数量上来看,69个非常少,总数量的千分之一都不到,但是让人震惊的是这69个有安全缺陷的代码片段又出现在了2859个GitHub的开源项目中!
很明显,这些代码都是程序员从Stack Overflow 复制粘贴过去的。
拿文章开头张大胖的例子来讲, 他需要用C++生成一个字母数字混合的随机字符串,但是不知道怎么办,于是就到Stack Overflow上去搜索,他找到了一个ID为440240的答案,这个答案有265个赞同,被浏览了17万多次,应该是个好答案了吧!
于是,张大胖“动心”了,他认为这是一段能解决问题的好代码,Copy , Paste 吧!
然而这段代码是存在着大坑的。
首先是字符串长度的问题,C/C++字符串以0结尾,带有'len'参数的函数应该把这一点考虑进来,但是这段代码只是简单的设置 s[len]=0 ,这就会导致不可预料的行为。
其次rand()函数已经是一个过时的函数了,不应该被调用了,即使是被使用,也应该先调用srand()设置一个随机数种子。
第三,使用rand() % N 试图来产生一个随机数字也不是最佳实践,因为很多随机数生成器生成数字的低字节并不是真正随机的。
看起来很简单的代码却有很多安全的漏洞,如果贸然复制粘贴到自己的项目中,就是埋了一个地雷。
2
其实,如果张大胖稍微细心一点,他就会看到这个答案有这么几个评论:
实际上已经有人指出代码的错误了,Velkan还明确地说,Stack Overflow应该提供一种机制,让这些过时的、废弃的答案“沉”下去,不能在这里误导大家了。
但是有多少Copy&Paste程序员会细心地看这些评论呢?
这个研究小组的科学家们非常贴心,专门开发了一个Chrome插件,当程序员去查看这些有安全缺陷的代码时,插件就会提示:这段代码有安全漏洞! 试图阻止复制粘贴,并且提供一个更好的解决方案的链接。
3
研究小组的科学家们就这些安全漏洞联系了GitHub项目的开发人员, 从回复来看,只有13.3%的人说他们已经Fix了,有40%的人承认这些漏洞的可能性,但是他们认为输入数据不是动态的,没有安全风险。还有13.3%的人根本不愿意修改。可见安全问题任重而道远啊!
希望能给Copy & Paste程序员敲响一次警钟吧!
参考资料:
https://arxiv.org/pdf/1910.01321.pdf?
https://stackoverflow.com/questions/440133/how-do-i-create-a-random-alpha-numeric-string-in-c/440240#440240
http://c-faq.com/lib/randrange.html
【责任编辑:武晓燕 TEL:(010)68476606】