アカウント名:
パスワード:
Cではバッファーエラー(CWE-119)・領域外読み込み(CWE-125)・NULLポインター参照(CWE-476)の順になっている。
他の言語ではそもそも脆弱性になりえないから…と思ったが、ここではC++も「他の言語」なのか。みんな意外とC++の機能をちゃんと使っているということか
ダメなプログラムを書いた責任を言語に擦り付けるようじゃ何使ってもダメでしょチンパンジーがキーボードを乱打しても正常なプログラムが書けるような言語があるなら話は別だけど
人間の注意力に責任を押し付けるようなやつは何をやってもダメ
例えばポインタの存在しないプログラムで同じように初期化や値チェックが雑なプログラムを組んだらNULLポで落ちない代わりによくわからない想定外の動作をするプログラムになるだけでしょ?バッファーオーバランでセキュリティリスクになるよりはランタイムエラーで落ちる方が良いとか?注意力に限界はあるしプログラムにバグが発生するのはあたりまえそれをテストデバッグせずに言語が悪いと言う人はプログラマーに向いてない※注意力散漫でもバグが無いプログラムを作れる言語なりシステムがあるなら教えてほしい
例えばポインタの存在しないプログラムで同じように初期化や値チェックが雑なプログラムを組んだらNULLポで落ちない代わりによくわからない想定外の動作をするプログラムになるだけでしょ?バッファーオーバランでセキュリティリスクになるよりはランタイムエラーで落ちる方が良いとか?
例えば流行りのRustなら、ランタイムエラーどころか、そもそもビルドを通さない仕組みがいくつかあるよな。レースコンディションとかはきっちり叱ってくれる。解放済みのポインタの使用も。何もないよりは、こっちの方が断然良い。
注意力に限界はあるしプログラムにバグが発生するのはあたりまえ
そう。それを言語がカバーして叱ってくれるんだぜ。やっぱり言語の選択は重要よ。
言語側でカバーして、文法レベルでエラーにしてくれるのが良いのはもちろんだが、Cは最近の静的解析使えばかなり改善する。いまどきの静的解析はとても優秀で一昔前だとリソース的に無理だったような、そこまでの実行パスで取りうる値を網羅的にチェックしてくれたりするんだよな。解放済みのポインタ参照なんか当たり前のように検出してくれる。valgrindはもう無くていいレベル
組み込み業界は秀丸やサクラエディタ使ってりゃマシな方でひどいとメモ帳ですよ。解析ツールなんて予算が降りません。
よし、ベターなCを作って名前に+でも加えよう
おまえのではまだ不足だから、俺がさらに改善して名前にもう一個+を加えとくわ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
ともあれC言語は滅びるべきである (スコア:0)
他の言語ではそもそも脆弱性になりえないから…と思ったが、ここではC++も「他の言語」なのか。みんな意外とC++の機能をちゃんと使っているということか
Re: (スコア:0)
ダメなプログラムを書いた責任を言語に擦り付けるようじゃ何使ってもダメでしょ
チンパンジーがキーボードを乱打しても正常なプログラムが書けるような言語があるなら話は別だけど
Re: (スコア:1)
人間の注意力に責任を押し付けるようなやつは何をやってもダメ
Re: (スコア:0)
例えばポインタの存在しないプログラムで同じように初期化や値チェックが雑なプログラムを組んだらNULLポで落ちない代わりによくわからない想定外の動作をするプログラムになるだけでしょ?
バッファーオーバランでセキュリティリスクになるよりはランタイムエラーで落ちる方が良いとか?
注意力に限界はあるしプログラムにバグが発生するのはあたりまえ
それをテストデバッグせずに言語が悪いと言う人はプログラマーに向いてない
※注意力散漫でもバグが無いプログラムを作れる言語なりシステムがあるなら教えてほしい
Re: (スコア:0)
例えば流行りのRustなら、ランタイムエラーどころか、そもそもビルドを通さない仕組みがいくつかあるよな。
レースコンディションとかはきっちり叱ってくれる。解放済みのポインタの使用も。
何もないよりは、こっちの方が断然良い。
そう。
それを言語がカバーして叱ってくれるんだぜ。やっぱり言語の選択は重要よ。
Re: (スコア:0)
言語側でカバーして、文法レベルでエラーにしてくれるのが良いのはもちろんだが、Cは最近の静的解析使えばかなり改善する。
いまどきの静的解析はとても優秀で一昔前だとリソース的に無理だったような、そこまでの実行パスで取りうる値を網羅的にチェックしてくれたりするんだよな。解放済みのポインタ参照なんか当たり前のように検出してくれる。
valgrindはもう無くていいレベル
Re:ともあれC言語は滅びるべきである (スコア:0)
組み込み業界は秀丸やサクラエディタ使ってりゃマシな方でひどいとメモ帳ですよ。
解析ツールなんて予算が降りません。
Re: (スコア:0)
よし、ベターなCを作って名前に+でも加えよう
Re: (スコア:0)
おまえのではまだ不足だから、俺がさらに改善して名前にもう一個+を加えとくわ。
Re:ともあれC言語は滅びるべきである (スコア:1)