CERT C: Rule POS50-C

Объявление объектов, совместно используемых потоками POSIX с соответствующей продолжительностью хранения

Описание

Определение правила

Объявление объектов, совместно используемых потоками POSIX с соответствующей продолжительностью хранения.[1]

Примеры

расширить все

Проблема

Автоматическая локальная переменная или локальная переменная потока, выходящая из POSIX® поток происходит, когда локальная переменная автоматического потока или потока передается по адресу от одного потока POSIX к другому, не гарантируя, что переменная остается живой в течение длительности последнего потока.

Риск

Локальная переменная автоматического или резьбового потока выделена на стеке в начале потока, и ее срок службы продолжается до конца потока. Переменная не гарантирована живая, когда другой поток обращается к ней.

Для образца рассмотрим стартовую функцию POSIX-потока с этими линиями:

int start_thread(pthread_t *tid) {
   int aVar = 0;
   if(thrd_success != pthread_create(tid, NULL, start_thread_child, &aVar) {
     //...
   }
}

The pthread_create функция создает дочерний поток с начальной функцией start_thread_child и передает адрес автоматической переменной aVarк этой функции. Когда этот дочерний поток обращается к aVarродительский поток мог завершить выполнение и aVar больше не находится в стеке. Доступ может привести к чтению непредсказуемых значений.

Зафиксировать

Когда вы передаете переменную от одного потока к другому, убедитесь, что переменное время жизни соответствует или превышает время жизни обоих потоков. Достичь этой синхронизации можно одним из следующих способов:

  • Объявите переменную static чтобы он не выходил из стека, когда текущий поток завершает выполнение.

  • Динамически выделите хранилище для переменной так, чтобы оно было выделено на куче вместо стека и должно быть явно освобождено. Убедитесь, что отключение происходит после завершения выполнения обоих потоков.

Эти решения требуют, чтобы вы создали переменную в нелокальной памяти. Вместо этого можно использовать другие решения, такие как shared ключевое слово с интерфейсом многопоточности OpenMP, позволяющим безопасно обмениваться локальными переменными между потоками.

Пример - Локальная переменная, выходящая из потока
#include <pthread.h>
#include <stdio.h>

void* create_child_thread(void *childVal) {
  int *res = (int *)childVal;
  printf("Result: %d\n", *res);
  return NULL;
}

void create_parent_thread(pthread_t *tid) {
  int parentVal = 1;
  int thrd_success;
  if ((thrd_success = pthread_create(tid, NULL, create_child_thread, &parentVal)) != 0) {
    /* Handle error */
  }
}

int main(void) {
  pthread_t tid;
  int thrd_success;
  create_parent_thread(&tid);

  if ((thrd_success = thrd_join(tid, NULL)) != 0) {
    /* Handle error */
  }
  return 0;
}

В этом примере значение parentVal является локальным для родительского потока, который начинается в main и переходит к функции create_parent_thread. Однако в теле create_parent_threadадрес этой локальной переменной передается дочернему потоку (потоку с стандартной программой create_child_thread). Возможно, родительский поток завершил выполнение и переменную parentVal возможно, выход из возможностей, когда дочерний поток обращается к этой переменной.

Коррекция - используйте статические переменные

Одной из возможных коррекций является объявление переменной parentVal как static так что переменная находится в стеке на протяжении всей длительности работы программы.

#include <pthread.h>
#include <stdio.h>

void* create_child_thread(void *childVal) {
  int *res = (int *)childVal;
  printf("Result: %d\n", *res);
  return NULL;
}

void create_parent_thread(pthread_t *tid) {
  static int parentVal = 1;
  int thrd_success;
  if ((thrd_success = pthread_create(tid, NULL, create_child_thread, &parentVal)) != 0) {
    /* Handle error */
  }
}

int main(void) {
  pthread_t tid;
  int thrd_success;
  create_parent_thread(&tid);

  if ((thrd_success = thrd_join(tid, NULL)) != 0) {
    /* Handle error */
  }
  return 0;
}
Коррекция - Используйте динамическое выделение памяти

Одной из возможных коррекций является динамическое выделение хранилища для переменных, которые будут совместно использоваться в потоках, и явное освобождение хранилища после того, как переменная больше не потребуется.

#include <pthread.h>
#include <stlib.h>

void* create_child_thread(void *val) {
  int *res = (int *)val;
  printf("Result: %d\n", *res);
  free(res);
  return NULL;
}

void create_parent_thread(pthread_t *tid) {
  int *val;
  int thrd_success;
  
  val = malloc(sizeof(int));
  
  if(!val) {
      *val = 1;
      if ((thrd_success = pthread_create(tid, NULL, create_child_thread, val)) != 0) {
        /* Handle error */
      }
  }
}

int main(void) {
  pthread_t tid;
  int thrd_success;
  create_parent_thread(&tid);

  if ((thrd_success = thrd_join(tid, NULL)) != 0) {
    /* Handle error */
  }
  return 0;
}

Проверяйте информацию

Группа: Правило 50. POSIX (POS)
Введенный в R2020a

[1] Это программное обеспечение было создано MathWorks, включающее фрагменты: «Сайт SEI CERT-C», © 2017 Университет Карнеги Меллон, Веб-сайт SEI CERT-C + + © 2017 Университет Карнеги Меллон, "Стандарт кодирования SEI CERT C - Правила разработки безопасных, Надежные и безопасные системы - 2016 Edition ", © 2016 Университет Карнеги Меллон, и "Стандарт кодирования SEI CERT C++ - Правила разработки безопасных, Надежные и безопасные системы в C++ - 2016 Edition "© 2016 Университет Карнеги Меллон, с специального разрешения от его Института программной инженерии.

ЛЮБОЙ МАТЕРИАЛ УНИВЕРСИТЕТА КАРНЕГИ МЕЛЛОН И/ИЛИ ЕГО ИНЖЕНЕРНОГО ИНСТИТУТА ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, СОДЕРЖАЩИЙСЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ, ПОСТАВЛЯЕТСЯ НА БАЗИСЕ «КАК ЕСТЬ». УНИВЕРСИТЕТ КАРНЕГИ МЕЛЛОН НЕ ДАЕТ НИКАКИХ ГАРАНТИЙ, ВЫРАЖЕННЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ, В ОТНОШЕНИИ ЛЮБОГО ВОПРОСА, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ, ГАРАНТИЮ ПРИГОДНОСТИ ДЛЯ ЦЕЛЕЙ ИЛИ КОММЕРЧЕСКОЙ ВЫГОДЫ, ИСКЛЮЧИТЕЛЬНОСТИ, ИЛИ УНИВЕРСИТЕТ КАРНЕГИ МЕЛЛОН НЕ ДАЕТ НИКАКИХ ГАРАНТИЙ В ОТНОШЕНИИ СВОБОДЫ ОТ ПАТЕНТА, ТОВАРНОГО ЗНАКА ИЛИ НАРУШЕНИЯ АВТОРСКИХ ПРАВ.

Это программное обеспечение и связанная с ним документация не были рассмотрены и не одобрены Университетом Карнеги-Меллон или его Институтом программной инженерии.