Linux之父终于被劝动：用了30年的Linux内核C语言将升级至C11

一个bug的连锁反应

问题的起源是来自上周的一次Linux社区讨论。

一位名叫 Jakob Koschel的博士生，在研究阻止与内核链表primitive相关的预测执行漏洞时，发现了这样一个问题。

Linux内核广泛使用由struct list_head定义的双向链表：

structlist_head{

structlist_head* next, * prev;

};

这种结构通常嵌入到其他结构中。通过这种方式，可以使用任何相关的结构类型制作链表。

除此之外，内核还提供大量可用于遍历和操作链表的函数和宏。 list_for_each_entry就是其中之一，这是伪装成一种控制结构的宏。

问题就出在这个宏上。

假设内核包含如下结构：

structfoo{

intfooness;

structlist_headlist;

};

list中的元素可用于创建foo结构的双向链表。

假设有一个叫做 foo_list的结构声明作为此类链表的头，使用以下代码可以遍历此链表：

structfoo* iterator;

list_for_each_entry(iterator, &foo_list, list) {

do_something_with(iterator);

}

/* Should not use iterator here */

list参数告诉宏在foo结构中list_head结构的名称。这个循环将为列表中的每个元素执行一次， 迭代器指向该元素。

由此导致了USB子系统中的一个bug： 传递给该宏的迭代器在退出宏后还能被使用。

这是一件危险的事情，所以Koschel提交了一个修复补丁，在循环后停止使用迭代器搞定了bug。

说服Linus

但是Linus Torvalds本人并不太喜欢这个补丁，也没有看到它与预测执行漏洞的关系。在Koschel详细解释后，Linus承认这只是一个普通的bug。

然而事情并没有那么简单，Linus不久后意识到了真正的根源：

传递给链表遍历宏的迭代器，必须在循环本身之外的范围内声明。

这种非预测性bug发生的原因是，C89中没有“在循环中声明变量”。

像list_for_each_entry这样的宏，从根本上总是将最后一个HEAD入口泄漏到循环之外，仅仅是因为我们不能在循环本身中声明迭代器变量。

这种非预测性bug发生的原因是，C89中没有“在循环中声明变量”。

像list_for_each_entry这样的宏，从根本上总是将最后一个HEAD入口泄漏到循环之外，仅仅是因为我们不能在循环本身中声明迭代器变量。

如果可以编写一个可以声明自己的迭代器列表遍历宏，那么迭代器在循环之外将不可见，并且不会出现此类问题。

但是，由于内核停留在C89标准上，因此无法在循环中声明变量。

Linus决定，那咱们还是升级吧，也许是时候转向C99标准了。

虽然它也有20多年的历史，但至少比C89新，可以在循环中声明变量。

既然C89如此陈旧，这么多年还没做出改变呢？Linus说，那是因为我们在一些古老的gcc编译器版本中遇到了一些奇怪的问题，不能随便升级。

但是，现在Linux内核已将gcc的最低要求提升至5.1版，因此过去那些奇怪的bug应该不会有了。

而另一位核心开发者Arnd Bergmann认为，咱们完全可以升级到C11甚至更高版本。但如果升级到C17或C2x，会破坏对gcc-5/6/7的支持，因此升级到C11更容易实现。

最终，Torvalds赞成这个想法：“好的，请提醒我，让我们在5.18合并窗口的早期尝试一下。”

接下来迁移到C11可能会导致一些意想不到的bug，但如果一切顺利，下一个Linus内核版本将正式转向C11。

程序员专属卫衣

商品直购链接👇

终于！我找到程序员爱穿卫衣的原因了

用了这么久 Linux ，才知道这些概念。。。

在Linux终端管理你的密码！

4 款专属极客卫衣，程序员秒懂！

每日打卡赢积分兑换书籍入口返回搜狐，查看更多