← 返回信息流
AI 资讯Hacker News·3 小时前

历经六年360次补丁 Linux正式移除Strncpy API

原标题:Linux Eliminates the Strncpy API After Six Years of Work, 360 Patches

速览

Linux内核开发团队在历时六年并经过360次补丁迭代后,正式移除了strncpy API。该API因容易导致缓冲区溢出等安全问题,长期被开发者视为需要谨慎使用的危险函数。此次移除标志着Linux在提升内核安全性和代码健壮性方面迈出了重要一步,将促使开发者转向更安全的替代方案。

AI 深度解读

Linux 内核正式移除 strncpy API:六年攻坚与 360 个补丁的终结

来源:Hacker News 原文标题:Linux Eliminates the strncpy API After Six Years of Work, 360 Patches

在 Linux 内核开发的历史上,清理遗留代码并提升安全性是一项长期且艰巨的任务。近日,Linux 内核维护者宣布了一项重大进展:经过长达六年的努力以及涉及 360 个补丁的修改,strncpy 这一存在已久的字符串处理 API 终于被彻底从内核代码中移除。这一举措标志着内核在消除潜在缓冲区溢出漏洞方面迈出了关键一步。

背景

strncpy 是 C 语言标准库中用于复制字符串的函数,其原型为 char *strncpy(char *dest, const char *src, size_t n)。尽管它在历史上被广泛使用,但在现代安全编码实践中,它被普遍认为是“有毒”的(toxic)。

strncpy 的主要问题在于其设计缺陷:

  1. 不保证空终止:如果源字符串 src 的长度大于或等于指定长度 nstrncpy 不会在目标缓冲区 dest 的末尾添加空字符(\0)。这会导致后续使用 dest 时发生缓冲区溢出或未定义行为。
  2. 性能陷阱:如果 src 较短,strncpy 会用空字符填充剩余空间,这在处理长缓冲区时会造成不必要的性能开销。
  3. 语义混淆:开发者往往难以正确区分“复制最多 n 个字符”和“确保字符串以空字符结尾”之间的区别,导致大量隐蔽的安全漏洞。

鉴于这些风险,Linux 内核社区早在多年前就决定逐步淘汰 strncpy,转而推荐使用更安全的替代方案,如 strscpy。然而,由于 Linux 内核代码库极其庞大且历史悠久,彻底清除所有对 strncpy 的引用需要耗费巨大的工程精力。

核心内容

这次移除工作并非一蹴而就,而是由 Linux 内核安全维护者(如 Kees Cook 等)主导的一项长期战略。根据 Hacker News 上的讨论及内核提交记录,这一过程的核心细节如下:

1. 漫长的迁移周期

移除工作始于大约六年前。在此期间,内核开发者们系统地扫描了整个内核代码树,识别出所有使用 strncpy 的地方。这不仅仅是简单的文本替换,还需要深入分析每个调用的上下文,确保替换后的代码在功能和安全性与原代码保持一致。

2. 360 个补丁的规模

据内核提交记录显示,完成这一清理工作共涉及 360 个补丁(patches)。这些补丁分布在不同的子系统、驱动模块和核心库中。每一个补丁都需要经过严格的代码审查(code review),以确保不会引入回归错误(regressions)。

3. 替代方案:strscpy

strncpy 取代的主要是 strscpystrscpy 由 Linux 内核引入,旨在解决 strncpy 的所有主要缺陷:

  • 始终空终止strscpy 保证目标缓冲区始终以空字符结尾(除非缓冲区大小为 0)。
  • 更好的安全性:它明确检查缓冲区大小,防止溢出。
  • 性能更优:它只在必要时填充空字符,避免了无意义的内存写入。

4. 最终合并

在最近的内核主线合并周期中,最后几个残留的 strncpy 调用被成功替换。这意味着,从这一刻起,Linux 内核的主线代码中不再包含任何对 strncpy 的直接调用。这是一个里程碑式的清理工作,象征着内核在“安全默认值”(secure-by-default)理念上的进一步巩固。

关键要点

  • 彻底清除:Linux 内核主线代码中已完全移除 strncpy 的使用,这是六年持续重构的结果。
  • 工作量巨大:整个迁移过程涉及 360 个独立的补丁,覆盖了内核的多个子系统和模块。
  • 安全驱动:移除的主要动机是消除因 strncpy 不保证空终止而导致的缓冲区溢出漏洞,提升内核整体安全性。
  • 标准替代strncpystrscpy 取代,后者提供了更可靠的行为和更好的性能特征。
  • 社区协作:这一成果得益于内核安全团队和广大贡献者的长期协作与代码审查。

意义与影响

1. 提升内核安全性

strncpy 是历史上许多安全漏洞的根源。通过彻底移除它,Linux 内核消除了一个主要的攻击面。对于操作系统内核而言,任何内存安全问题的修复都具有极高的价值,因为这直接关系到系统的稳定性和抵御恶意攻击的能力。

2. 确立安全编码规范

这一举措向所有内核开发者和外部模块(out-of-tree modules)开发者发出了明确信号:strncpy 在内核开发中已不再被接受。这有助于统一内核代码库的安全标准,减少未来因使用不安全 API 而引入漏洞的可能性。

3. 对驱动开发者的影响

对于编写 Linux 内核模块的第三方开发者来说,这意味着他们必须更新自己的代码,避免使用 strncpy。虽然这增加了一定的迁移成本,但从长远来看,它有助于构建一个更健壮、更安全的生态系统。

4. 软件工程启示

Linux 内核的这一案例展示了大型开源项目如何逐步消除技术债务。尽管过程漫长且痛苦,但通过系统性的重构和严格的审查,最终实现了代码库的现代化和安全化。这对于其他大型软件项目具有重要的借鉴意义。

总之,Linux 内核移除 strncpy 不仅是一次代码清理,更是一次安全架构的升级。它体现了内核社区对安全性和代码质量的高度重视,为未来的 Linux 发展奠定了更坚实的基础。

相关推荐

查看原文 →phoronix.com