Recentemente fiz uma revisão de código onde encontrei sprintf, gets, strcat e strcpy para todos os cantos, além de outros pecados mortais. Descontando os detalhes não tão óbvios, sobre strings, com várias fontes bibliográficas (inclusive em português), não acreditei na quantidade de código inseguro que encontrei num software comercial.

Como expressa o Sutter, “francamente, você já deveria estar utilizando snprintf mesmo antes dele ter tornado-se padrão” em “os formatadores de strings da Granja do Solar” capítulo do livro Exceptional C++ Style (que traduzido para o pt-br virou Programação avançada em C++) do Herb Sutter, onde de uma forma divertida ele cita George Orwell:

“Todos os animais são iguais, mas alguns são mais iguais do que outros”

Com bom humor e com qualidade, tópicos tratados nestes capítulos também podem ser encontrados nos livros Secure Code in C and C++ do Robert Seacord (CERT – SEI Series), no Escrevendo Código Seguro do LeBlank e do Michael Howard, também no Secure Programming for C and C++ do Matt Messier e do John Viega e são alguns dos 19 pecados mortais do 19 deadly sins of software security também do Michael Howard, David LeBlanc e do John Viega.

Porquê estou comentando isto? e não é só isto, afinal em vários artigos estas recomendações básicas são encontradas. Historicamente, até bugs non sense e incompreendidos são resolvidos quando a boa prática é empregada.

Como há sempre muito mais do mesmo, pra quem realmente programa em C++ e não leu os livros do Sutter [1] recomendo-os, pois além de dicas de codificação segura há dicas para melhorar a perfomance, diminuir armadilhas entre outras, depois o livro do Seacord [2] que apesar do repeteco, é específico e trata de alguns detalhes ausentes na obra do Sutter.

Para todos, recomendo o 19 Deadly Sins of Software Security [3] e para quem está mais interessado numa leitura bem densa entrem de cabeça no “The Art of Software Security Assesment” [4] do Mark Dowd, Johan Mcdonald e do Justin Schuh.

No site http://www.codigoseguro.com.br há seção de livros [5] que vários livros que eu poderia recomendar, mais alguns livros que desconheço, além de vários artigos interessantes para doses homeopáticas.

Para quem quiser uma palhinha, leiam: Top 10 Secure Coding Practices [6] de onde eu tirei esta imagem que eventualmente me vem na cabeça quando encontro certas construções peculiares.

Recentemente fiz uma revisão de código onde encontrei sprintf, gets, strcat e strcpy para todos os cantos, além de outros pecados mortais. Não houve como não lembrar dos capítulos “os formatadores de strings da Granja Solar” do livro Exceptional C++ Style (que traduzido para o pt-br virou Programação Avançada em C++) do Herb Sutter, onde de uma forma divertida ele cita George Orwell:

“Todos os animais são iguais, mas alguns são mais iguais do que outros”

Descontando os detalhes não tão óbvios, sobre strings, com várias fontes bibliográficas (inclusive em português) não acreditei na quantidade de código inseguro que encontrei num software comercial, mas é como diz o Jeff Atwood do Coding Horror [1] para encontrar código inseguro, basta procurar!

Mas sobre strings, como expressa o Sutter, “francamente, você já deveria estar utilizando snprintf mesmo antes dele ter tornado-se padrão” pois historicamente até bugs non sense e incompreendidos são resolvidos quando a boa prática é empregada.

Como há sempre muito mais do mesmo, pra quem realmente programa em C++ e não leu os livros do Sutter [1] recomendo-os, pois além de dicas de codificação segura há dicas para melhorar a perfomance, diminuir armadilhas entre outras, depois o livro do Seacord [2] que apesar do repeteco, é específico e trata de alguns detalhes ausentes na obra do Sutter.

Para todos, recomendo o 19 Deadly Sins of Software Security [3] que li recentemente e é muito útil e interessante, porém para quem deseja uma leitura mais densa entrem de cabeça no “The Art of Software Security Assesment” [4] do Mark Dowd, Johan Mcdonald e do Justin Schuh.
No site http://www.codigoseguro.com.br há uma seção de livros [5] que contém varias obras que eu poderia recomendar, mais alguns livros que desconheço, além de vários artigos interessantes para doses homeopáticas, há sempre muito mais do mesmo, mas são as pequenas novidades que muitas vezes fixam conceitos que já deveriam estar enraizados em nossa mente.
Para quem quiser uma palhinha, leiam: Top 10 Secure Coding Practices [6] de onde eu tirei esta imagem que eventualmente me vem na cabeça quando encontro certas construções peculiares.