【缺陷周话】第51期：死代码

阅读量 85999 | 评论 2

分享到：

发布时间：2019-09-09 17:30:19

1、死代码

程序中从来不被执行的代码称为死代码，死代码提示程序中可能存在逻辑错误，进而导致非预期的程序行为。详见 CWE-561: Dead Code。

死代码属于程序编码错误，一般不会导致严重的安全问题，编程人员需要确定为什么这段代码永远不会执行，并正确解决这个问题。

示例源于 Samate Juliet Test Suite for C/C++ v1.3 (https://samate.nist.gov/SARD/testsuite.php)，源文件名：CWE561_Dead_Code__return_before_code_01.c。

在上述示例代码中，函数在第12行通过 return; 语句返回，因此第14行的printLine(“Hello”); 永远不会被执行到，存在“死代码”问题。

使用代码卫士对上述示例代码进行检测，可以检出“死代码”缺陷，显示等级为中。如图1所示：

图1：死代码检测示例

在上述修复代码中，Samate 给出的修复方式为：调整代码逻辑，在执行完13行的 printLine(“Hello”); 后，再通过 return; 返回，从而避免了死代码问题，也可根据实际代码逻辑与功能删除死代码。

使用代码卫士对修复后的代码进行检测，可以看到已不存在“死代码”缺陷。如图2：

图2：修复后检测结果

编程人员需要根据代码逻辑，判断为何会出现不被执行的“死代码”，并根据实际情况调整代码逻辑，或者删除死代码。

本文由安全客原创发布
转载，请参考转载声明，注明出处： https://www.anquanke.com/post/id/186133
安全客 - 有思想的安全新媒体

TA的文章