我撰写了代码审计一书,包括了C、C++、Java语言,加起来有600多页,书籍太厚,印刷成本比较高,出版社对于代码审计将来的销量也有所担心,他们更担心的在书中涉及到了对国家标准的解读,尤其是国家军用标准的解读,我查阅了大量资料,向出版社说明国家军用标准是公开发行的,任何人都可以了解其内容,而且作为国家标准的一部分,对于其中文字的引用、代码示例的分析等,均不会构造侵权。尽管是这样,出版社还是要求把书分成两次出版,先出版C、C++部分,后面在出版Java部分。在与出版社经过将近2年的沟通交涉后,《代码审计C/C++实践》一书终于在2023年的金秋十月出版了。也是值得开心和纪念的日子吧。
该书对静态分析的原理、发展等进行了阐述。更多是通过对GJB 8114(国家军用C/C++编码标准)、GB/T 34943(国家代码审计C/C++标准)两个标准中涉及到的大量安全编码规则、安全缺陷进行了分析,尤其是标准中用于解释标准项的每一个错误示例和正确示例,通过静态分析工具检测出错误示例,对于正确示例不能检测出,同时对该标准要求涉及到的C/C++中的变量、语法、逻辑、内存使用原理等进行了大量分析,能够让采用这些标准进行代码审计的工程人员了解缺陷检测出来的原因,便于他们去检测和修复工作中的程序代码。当然该书中还使用一个章节,专门介绍了C、C++语言中常见的运行时缺陷,例如数组越界、整数溢出、内存泄露等等。该书除了可以作为工程技术人员、代码审计人员参考使用之外,也可以作为高校的辅助教材。
非常感谢北京大学的马森教授、博士,提供我大量的研究资料,感觉陈能技协调几位同行帮我们梳理了部分代码示例和工具检测示例。
该书目前已经在邮电出版社的异步社区上架销售,链接是:https://labs.epubit.com/bookDetails?id=UBd166404239b1&tabName=null&floorName=null
需要的朋友可以去购买,感谢您的支持。