面向Google编程的Copy&Paste程序员要小心了!

开发 开发工具
张大胖最近接了一个C++的私活,在编程的时候需要生成一个字母和数字混合的随机字符串,张大胖不知道该怎么办,于是打开Google,输入关键字搜索,迅速在Stack Overflow找到了答案,还附有相关代码,他心中窃喜,直接复制粘贴过来,稍加修改,问题搞定,爽!

 张大胖最近接了一个C++的私活,在编程的时候需要生成一个字母和数字混合的随机字符串,张大胖不知道该怎么办,于是打开Google,输入关键字搜索,迅速在Stack Overflow找到了答案,还附有相关代码,他心中窃喜,直接复制粘贴过来,稍加修改,问题搞定,爽!

这可能是很多程序员都干过的事情,但是一个研究显示这么做是有风险的。

1

最近一个计算机科学研究小组研究了Stack Overflow上过去十年的72483个C++代码片段,发现了69个有安全缺陷的代码片段,按照CWE (Common Weakness Enumeration) 的规范,被分成29类。

从数量上来看,69个非常少,总数量的千分之一都不到,但是让人震惊的是这69个有安全缺陷的代码片段又出现在了2859个GitHub的开源项目中!

很明显,这些代码都是程序员从Stack Overflow 复制粘贴过去的。

拿文章开头张大胖的例子来讲, 他需要用C++生成一个字母数字混合的随机字符串,但是不知道怎么办,于是就到Stack Overflow上去搜索,他找到了一个ID为440240的答案,这个答案有265个赞同,被浏览了17万多次,应该是个好答案了吧!

 

于是,张大胖“动心”了,他认为这是一段能解决问题的好代码,Copy , Paste 吧!

然而这段代码是存在着大坑的。

首先是字符串长度的问题,C/C++字符串以0结尾,带有'len'参数的函数应该把这一点考虑进来,但是这段代码只是简单的设置 s[len]=0 ,这就会导致不可预料的行为。

其次rand()函数已经是一个过时的函数了,不应该被调用了,即使是被使用,也应该先调用srand()设置一个随机数种子。

第三,使用rand() % N 试图来产生一个随机数字也不是最佳实践,因为很多随机数生成器生成数字的低字节并不是真正随机的。

看起来很简单的代码却有很多安全的漏洞,如果贸然复制粘贴到自己的项目中,就是埋了一个地雷。

2

其实,如果张大胖稍微细心一点,他就会看到这个答案有这么几个评论:

 

实际上已经有人指出代码的错误了,Velkan还明确地说,Stack Overflow应该提供一种机制,让这些过时的、废弃的答案“沉”下去,不能在这里误导大家了。

但是有多少Copy&Paste程序员会细心地看这些评论呢?

这个研究小组的科学家们非常贴心,专门开发了一个Chrome插件,当程序员去查看这些有安全缺陷的代码时,插件就会提示:这段代码有安全漏洞! 试图阻止复制粘贴,并且提供一个更好的解决方案的链接。

 

3

研究小组的科学家们就这些安全漏洞联系了GitHub项目的开发人员, 从回复来看,只有13.3%的人说他们已经Fix了,有40%的人承认这些漏洞的可能性,但是他们认为输入数据不是动态的,没有安全风险。还有13.3%的人根本不愿意修改。可见安全问题任重而道远啊!

 

希望能给Copy & Paste程序员敲响一次警钟吧!

参考资料:

https://arxiv.org/pdf/1910.01321.pdf?

https://stackoverflow.com/questions/440133/how-do-i-create-a-random-alpha-numeric-string-in-c/440240#440240

http://c-faq.com/lib/randrange.html

 

责任编辑:武晓燕 来源: 51CTO专栏
相关推荐

2019-12-03 10:04:18

程序员招聘开发

2010-04-22 10:13:46

Google英特尔

2022-08-22 08:58:20

Java程序员虚拟机

2012-06-13 13:16:16

2014-08-01 10:18:16

.Netdump

2022-12-07 10:02:17

ChatGPTAI免费试用

2015-06-18 10:16:27

程序员

2018-05-23 15:01:46

程序员WiFi生产商

2021-04-08 22:41:22

程序员IT编程语言

2012-06-15 09:54:58

程序员编程开发

2015-08-18 09:23:39

程序员学英语

2013-04-18 09:55:05

程序员

2022-12-08 20:16:43

2015-11-11 12:11:17

程序员淘宝京东

2012-08-30 10:05:40

编程编程语言程序员

2019-08-07 11:05:29

Java开发代码

2015-10-19 17:49:43

程序员泡沫工资

2015-07-20 10:11:08

程序员幸福

2009-11-17 09:41:49

程序员的学历

2019-10-28 10:57:35

程序员监狱编程
点赞
收藏

51CTO技术栈公众号