隨著代碼行數(shù)從幾千到上百萬(wàn)不等，嵌入式軟件變得日益復(fù)雜，但總體目標(biāo)依然是實(shí)現(xiàn)穩(wěn)健、正確且快速執(zhí)行的軟件。快速執(zhí)行的軟件需要以最優(yōu)方式管理可用的 CPU 和內(nèi)存資源，這對(duì)內(nèi)存空間（尤其是 RAM）有限的嵌入式系統(tǒng)來(lái)說(shuō)不失為一項(xiàng)挑戰(zhàn)。

為此，必須通過(guò)執(zhí)行堆棧和堆分析對(duì) RAM 的使用情況進(jìn)行分析。開(kāi)發(fā)人員手動(dòng)估計(jì)堆棧和堆負(fù)載是一項(xiàng)艱巨的任務(wù)，即使對(duì)于小程序來(lái)說(shuō)也是如此。如果估計(jì)不正確，則可能會(huì)導(dǎo)致堆棧溢出和未定義的行為。

因此，一些編碼標(biāo)準(zhǔn)要求強(qiáng)制執(zhí)行內(nèi)存分配使用最佳實(shí)踐，以避免不必要的開(kāi)銷。但是，堆棧仍是 RAM 的必要組成部分，需要得到優(yōu)化利用。

為什么嵌入式系統(tǒng)需要堆棧分析？

當(dāng)可用堆棧小于代碼需求時(shí)，就會(huì)發(fā)生堆棧溢出。然而，當(dāng)為環(huán)境配置的堆棧大于需求時(shí)，內(nèi)存又會(huì)被浪費(fèi)。開(kāi)發(fā)人員必須持續(xù)一致地估計(jì)安全關(guān)鍵型應(yīng)用中最差情形下的堆棧使用量，以防止軟件運(yùn)行時(shí)發(fā)生 RAM 不足的情況。



堆棧估計(jì)不正確所帶來(lái)的風(fēng)險(xiǎn)。

如何估計(jì)堆棧分析？

手動(dòng)估計(jì)堆棧

雖然手動(dòng)估計(jì)堆棧分析偶爾會(huì)有幫助，但對(duì)于更復(fù)雜的系統(tǒng)來(lái)說(shuō)可能充滿挑戰(zhàn)。這就需要徹底了解函數(shù)調(diào)用的深度、所有局部變量的細(xì)節(jié)，以及執(zhí)行過(guò)程中隨時(shí)發(fā)生的中斷幀的大小，等等。這是一個(gè)漫長(zhǎng)而又容易出錯(cuò)的過(guò)程。使用靜態(tài)代碼分析工具可以快速計(jì)算出上述結(jié)果，而不必手動(dòng)執(zhí)行這個(gè)過(guò)程。

使用靜態(tài)代碼分析器

開(kāi)發(fā)人員可以通過(guò)靜態(tài)代碼分析器預(yù)測(cè)堆棧的使用情況。分析工具有助于分析函數(shù)調(diào)用深度、局部變量和返回參數(shù)的堆棧估計(jì)、嵌套中斷以及執(zhí)行期間發(fā)生的中斷幀的大小。使用靜態(tài)代碼分析器的好處在于，它可以處理編碼規(guī)則違規(guī)、運(yùn)行時(shí)缺陷、編碼復(fù)雜性以及堆棧分析估計(jì)。它在幾分鐘內(nèi)就能完成這些操作，從而幫助開(kāi)發(fā)人員節(jié)省了手動(dòng)計(jì)算堆棧使用量的時(shí)間。

對(duì)目標(biāo)進(jìn)行測(cè)試和測(cè)量

靜態(tài)分析器可以在開(kāi)發(fā)過(guò)程中估計(jì)堆棧的使用量。但是，最好在真實(shí)硬件上獲得實(shí)際的堆棧使用量數(shù)據(jù)。許多開(kāi)發(fā)環(huán)境都具有硬件模擬功能，并提供實(shí)時(shí)堆棧分析功能。在實(shí)際硬件上執(zhí)行堆棧分析，并創(chuàng)建溢出場(chǎng)景來(lái)測(cè)試故障安全例程，這一點(diǎn)非常重要。現(xiàn)在，最大的問(wèn)題是：何時(shí)使用靜態(tài)分析工具執(zhí)行堆棧分析？何時(shí)在實(shí)際目標(biāo)上執(zhí)行？

何時(shí)執(zhí)行堆棧分析？

執(zhí)行堆棧分析是軟件開(kāi)發(fā)生命周期中的一個(gè)連續(xù)過(guò)程。如果僅在軟件開(kāi)發(fā)生命周期結(jié)束時(shí)由單獨(dú)的質(zhì)量評(píng)估團(tuán)隊(duì)估計(jì)堆棧使用量，則可能會(huì)使整個(gè)開(kāi)發(fā)工作面臨風(fēng)險(xiǎn)。此外，在開(kāi)發(fā)周期的后期解決問(wèn)題可能會(huì)出錯(cuò)且耗時(shí)；在確定是更改硬件還是軟件設(shè)計(jì)時(shí)，這種做法可能還會(huì)造成混亂。執(zhí)行堆棧分析的最佳時(shí)點(diǎn)是：

在添加新功能時(shí)

在軟件中每添加一項(xiàng)新功能，都會(huì)使堆棧使用量增加。開(kāi)發(fā)人員必須密切關(guān)注新功能的堆棧使用情況。

執(zhí)行堆棧分析、進(jìn)行調(diào)試和修復(fù)復(fù)雜代碼：在每個(gè)主要功能實(shí)現(xiàn)后，開(kāi)發(fā)人員可以在本地對(duì)特定軟件組件或軟件模塊應(yīng)用靜態(tài)分析器，以評(píng)估基礎(chǔ)軟件和已實(shí)現(xiàn)軟件之間堆棧使用量的增加情況。

在整個(gè)開(kāi)發(fā)過(guò)程中監(jiān)控堆棧分析：QA 團(tuán)隊(duì)和產(chǎn)品負(fù)責(zé)人可以使用靜態(tài)分析器對(duì)持續(xù)集成 (CI) 管道進(jìn)行堆棧估計(jì)，以在控制板上顯示結(jié)果。此過(guò)程有助于在軟件開(kāi)發(fā)生命周期中跟蹤堆棧分析。

執(zhí)行良好實(shí)踐以確保堆棧使用量最低：質(zhì)量門有助于避免違反 MISRA 和 AUTOSAR 編碼規(guī)范。這些規(guī)范要求強(qiáng)制有條件地使用動(dòng)態(tài)內(nèi)存分配。

在軟件發(fā)布前

靜態(tài)分析器執(zhí)行的堆棧估計(jì)提供了有力的證據(jù)，表明堆棧使用量處于控制之中。在每次軟件發(fā)布之前，都應(yīng)在標(biāo)準(zhǔn)工作負(fù)載、最小負(fù)載和最大負(fù)載下，對(duì)真實(shí)目標(biāo)運(yùn)行堆棧分析，以全面了解堆棧的使用情況。驗(yàn)證堆棧上溢和下溢事件的故障安全例程也至關(guān)重要。

Polyspace 對(duì)堆棧估計(jì)有何作用？

Polyspace Code Prover 對(duì)每個(gè)函數(shù)中局部變量的大小上限和下限執(zhí)行保守和樂(lè)觀估計(jì)，以得出函數(shù)級(jí)和程序級(jí)的最大和最小堆棧使用量。該分析考慮了函數(shù)返回值的大小、函數(shù)參數(shù)的大小、局部變量的大小，以及內(nèi)存對(duì)齊所需的額外填充。



Polyspace 桌面版上的堆棧分析代碼度量。

要了解和調(diào)試堆棧利用過(guò)量的問(wèn)題，開(kāi)發(fā)人員可以在本地運(yùn)行 Polyspace，通過(guò)檢查函數(shù)調(diào)用深度來(lái)確定堆棧利用過(guò)量的確切原因，并通過(guò)優(yōu)化利用可用資源來(lái)降低堆棧使用量。

函數(shù) table_loop() 的調(diào)用樹和更高的堆棧估計(jì)。

在整個(gè)開(kāi)發(fā)過(guò)程中監(jiān)控堆棧分析

Polyspace Access 是結(jié)果數(shù)據(jù)庫(kù)服務(wù)器，可以在 Web 瀏覽器上呈現(xiàn)圖形用戶界面。CI 流程可以觸發(fā) Polyspace Server 上的堆棧分析，以生成堆棧使用量估計(jì)結(jié)果。此結(jié)果可以上傳到結(jié)果數(shù)據(jù)庫(kù)。QA 團(tuán)隊(duì)和產(chǎn)品負(fù)責(zé)人可以在圖形化前端持續(xù)查看堆棧使用量，并在可用堆棧資源過(guò)度使用的情況下采取必要的措施。



Polyspace Access 中的項(xiàng)目級(jí)堆棧估計(jì)。

下一步是，檢查堆棧使用量較高的函數(shù)，并將特定函數(shù)分配給開(kāi)發(fā)人員，以供進(jìn)一步調(diào)查和調(diào)試。Polyspace 允許您為分析結(jié)果指定狀態(tài)和嚴(yán)重性并添加注釋，然后在 Jira 等 Bug 跟蹤工具中將這些結(jié)果分配給開(kāi)發(fā)人員。



Polyspace Access 中的函數(shù)級(jí)堆棧估計(jì)和結(jié)果審查控制板。

執(zhí)行良好實(shí)踐以確保堆棧使用量最低

對(duì)于產(chǎn)品級(jí)代碼，必須絕對(duì)避免違反編碼標(biāo)準(zhǔn)，如 MISRA C、MISRA C++、AUTOSAR C++ 等。這些編碼標(biāo)準(zhǔn)要求強(qiáng)制禁止動(dòng)態(tài)內(nèi)存分配，并推薦特定用例來(lái)優(yōu)化靜態(tài)內(nèi)存分配。

Polyspace Bug Finder 有助于識(shí)別任何違反最佳實(shí)踐的行為，開(kāi)發(fā)人員可以在本地監(jiān)控這些行為，而產(chǎn)品負(fù)責(zé)人可通過(guò) Polyspace Access 監(jiān)控這些行為。以下編碼規(guī)則詳細(xì)說(shuō)明了靜態(tài)內(nèi)存分配的最佳實(shí)踐。靜態(tài)內(nèi)存分配可以使用 Polyspace Bug Finder 進(jìn)行分析。



隨著代碼的循環(huán)復(fù)雜度、嵌套函數(shù)調(diào)用的數(shù)量、函數(shù)中變量數(shù)目等的增加，堆棧的使用量也在增加。Polyspace 能夠控制影響堆棧使用量的諸多變量，并支持設(shè)置代碼復(fù)雜度閾值。



設(shè)置代碼復(fù)雜度閾值。

Polyspace Bug Finder 提供了許多針對(duì)靜態(tài)和動(dòng)態(tài)內(nèi)存分配的運(yùn)行時(shí)檢查。解決所有高、中和低優(yōu)先級(jí)缺陷有助于降低內(nèi)存分配帶來(lái)的風(fēng)險(xiǎn)。



運(yùn)行時(shí)靜態(tài)和動(dòng)態(tài)內(nèi)存檢查。

無(wú)論使用何種方法來(lái)計(jì)算堆棧使用量，稍微增大堆棧大小都不失為一個(gè)好辦法。這種方法有助于避免測(cè)試期間可能未檢測(cè)到的堆棧溢出導(dǎo)致的系統(tǒng)漏洞。

堆棧溢出漏洞是許多嵌入式應(yīng)用程序在實(shí)際運(yùn)行中表現(xiàn)出不可定義行為的一個(gè)重要原因。在正確的時(shí)間使用正確的工具并遵循最佳實(shí)踐，可以增強(qiáng)對(duì)軟件防止堆棧溢出的信心。



審核編輯：劉清