CERT C: Rule SIG30-C

信号ハンドラー内から非同期安全な関数のみを呼び出す

このページをすべて展開する

説明

ルール定義

信号ハンドラー内から非同期安全な関数のみを呼び出します。¹

Polyspace 実装

ルールチェッカーは以下の問題をチェックします。

非同期安全ではない信号ハンドラーから呼び出された関数。
非同期安全ではない信号ハンドラーから呼び出された関数 (厳密)。

例

すべて展開する

非同期安全ではない信号ハンドラーから呼び出された関数

問題

非同期安全ではない信号ハンドラーから呼び出された関数は、POSIX 規格によると非同期安全ではない関数を信号ハンドラーが呼び出す場合に起こります。非同期安全な関数は、実行中のどの時点でも割り込んで再度呼び出すことができ、不整合な状態を発生させません。また、不整合な状態の可能性があるグローバルデータを正しく処理できます。

信号ハンドラーで、非同期安全ではない関数を呼び出す別の関数を呼び出す場合、その信号ハンドラーの関数呼び出しに欠陥が表示されます。欠陥のトレースバックには、信号ハンドラーから非同期安全ではない関数までの絶対パスが表示されます。

リスク

信号ハンドラーが呼び出されたときに、プログラムの実行が割り込まれます。ハンドラーが終了した後、割り込まれた箇所からプログラムの実行が再開します。関数が非同期安全ではない限り、割り込み時に関数が実行中の場合、信号ハンドラーからのその関数の呼び出しは未定義の動作です。

修正方法

POSIX 規格では、次の関数を非同期安全として定義しています。信号ハンドラーから次の関数を呼び出すことができます。

`_exit()`	`getpgrp()`	`setsockopt()`
`_Exit()`	`getpid()`	`setuid()`
`abort()`	`getppid()`	`shutdown()`
`accept()`	`getsockname()`	`sigaction()`
`access()`	`getsockopt()`	`sigaddset()`
`aio_error()`	`getuid()`	`sigdelset()`
`aio_return()`	`kill()`	`sigemptyset()`
`aio_suspend()`	`link()`	`sigfillset()`
`alarm()`	`linkat()`	`sigismember()`
`bind()`	`listen()`	`signal()`
`cfgetispeed()`	`lseek()`	`sigpause()`
`cfgetospeed()`	`lstat()`	`sigpending()`
`cfsetispeed()`	`mkdir()`	`sigprocmask()`
`cfsetospeed()`	`mkdirat()`	`sigqueue()`
`chdir()`	`mkfifo()`	`sigset()`
`chmod()`	`mkfifoat()`	`sigsuspend()`
`chown()`	`mknod()`	`sleep()`
`clock_gettime()`	`mknodat()`	`sockatmark()`
`close()`	`open()`	`socket()`
`connect()`	`openat()`	`socketpair()`
`creat()`	`pathconf()`	`stat()`
`dup()`	`pause()`	`symlink()`
`dup2()`	`pipe()`	`symlinkat()`
`execl()`	`poll()`	`sysconf()`
`execle()`	`posix_trace_event()`	`tcdrain()`
`execv()`	`pselect()`	`tcflow()`
`execve()`	`pthread_kill()`	`tcflush()`
`faccessat()`	`pthread_self()`	`tcgetattr()`
`fchdir()`	`pthread_sigmask()`	`tcgetpgrp()`
`fchmod()`	`quick_exit()`	`tcsendbreak()`
`fchmodat()`	`raise()`	`tcsetattr()`
`fchown()`	`read()`	`tcsetpgrp()`
`fchownat()`	`readlink()`	`time()`
`fcntl()`	`readlinkat()`	`timer_getoverrun()`
`fdatasync()`	`recv()`	`timer_gettime()`
`fexecve()`	`recvfrom()`	`timer_settime()`
`fork()`	`recvmsg()`	`times()`
`fpathconf()`	`rename()`	`umask()`
`fstat()`	`renameat()`	`uname()`
`fstatat()`	`rmdir()`	`unlink()`
`fsync()`	`select()`	`unlinkat()`
`ftruncate()`	`sem_post()`	`utime()`
`futimens()`	`send()`	`utimensat()`
`getegid()`	`sendmsg()`	`utimes()`
`geteuid()`	`sendto()`	`wait()`
`getgid()`	`setgid()`	`waitpid()`
`getgroups()`	`setpgid()`	`write()`
`getpeername()`	`setsid()`

上の表にない関数は非同期安全ではありません。信号ハンドラーから呼び出さないようにします。

例 - 信号ハンドラー内の printf() の呼び出し

#include <signal.h>
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <setjmp.h>
#include <syslog.h>
#include <unistd.h>

#define SIZE20 20

extern volatile sig_atomic_t e_flag;

void display_info(const char *info)
{
    if (info)
    {
        (void)fputs(info, stderr);
    }
}

void sig_handler(int signum)
{
    /* Call function printf() that is not
	asynchronous-safe */
	printf("signal %d received.", signum);  //Noncompliant
    e_flag = 1;
}

int main(void)
{
    e_flag = 0;
    if (signal(SIGINT, sig_handler) == SIG_ERR)
    {
        /* Handle error */
    }
    char *info = (char *)calloc(SIZE20, sizeof(char));
    if (info == NULL)
    {
        /* Handle Error */
    }
    while (!e_flag)
    {
        /* Main loop program code */
        display_info(info);
        /* More program code */
    }
    free(info);
    info = NULL;
    return 0;
}

この例では、信号をキャッチするときに sig_handler が printf() を呼び出しています。printf() の実行中にハンドラーが別の信号をキャッチする場合、プログラムの動作は未定義です。

修正 — 信号ハンドラーにフラグのみを設定

信号ハンドラーを使用して、フラグの値のみを設定します。e_flag は、volatile sig_atomic_t 型です。sig_handler はこれに非同期で安全にアクセスできます。

#include <signal.h>
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <setjmp.h>
#include <syslog.h>
#include <unistd.h>

#define SIZE20 20

extern volatile sig_atomic_t e_flag;

void display_info(const char *info)
{
    if (info)
    {
        (void)fputs(info, stderr);
    }
}

void sig_handler1(int signum)
{
    int s0 = signum;
    e_flag = 1;       
}

int func(void)
{
    e_flag = 0;
    if (signal(SIGINT, sig_handler1) == SIG_ERR)
    {
        /* Handle error */
    }
    char *info = (char *)calloc(SIZE20, 1);
    if (info == NULL)
    {
        /* Handle error */
    }
    while (!e_flag)
    {
        /* Main loop program code */
        display_info(info);
        /* More program code */
    }
    free(info);
    info = NULL;
    return 0;
}

非同期安全ではない信号ハンドラーから呼び出された関数 (厳密)

問題

非同期安全ではない信号ハンドラーから呼び出された関数 (厳密) は、C 標準によると非同期安全ではない関数を信号ハンドラーが呼び出す場合に起こります。非同期安全な関数は、実行中のどの時点でも割り込んで再度呼び出すことができ、不整合な状態を発生させません。また、不整合な状態の可能性があるグローバルデータを正しく処理できます。

非同期安全ではない信号ハンドラーから呼び出された関数チェッカーを選択した場合、チェッカーでは POSIX 規格によると非同期安全ではない関数の呼び出しを検出します。非同期安全ではない信号ハンドラーから呼び出された関数 (厳密) では、そのような場合の欠陥を報告しません。非同期安全ではない信号ハンドラーから呼び出された関数 (厳密) は、POSIX 規格では非同期安全だが、C 標準では非同期安全ではない関数の欠陥を報告します。

リスク

修正方法

C 標準では、次の関数を非同期安全として定義しています。信号ハンドラーから次の関数を呼び出すことができます。

abort()
_Exit()
quick_exit()
signal()

例 - 信号ハンドラー内の raise() の呼び出し

#include <signal.h>
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <setjmp.h>
#include <syslog.h>
#include <unistd.h>

void SIG_ERR_handler(int signum)
{
    int s0 = signum;
    /* SIGTERM specific handling */
}

void sig_handler(int signum)
{
    int s0 = signum;
	/* Call raise() */ 
    if (raise(SIGTERM) != 0) {  //Noncompliant
        /* Handle error */
    }
}

int finc(void)
{
    if (signal(SIGTERM, SIG_ERR_handler) == SIG_ERR)
    {
        /* Handle error */
    }
    if (signal(SIGINT, sig_handler) == SIG_ERR)
    {
        /* Handle error */
    }
    /* Program code */
    if (raise(SIGINT) != 0)
    {
        /* Handle error */
    }
    /* More code */
    return 0;
}

この例では、信号をキャッチするときに sig_handler が raise() を呼び出しています。raise() の実行中にハンドラーが別の信号をキャッチする場合、プログラムの動作は未定義です。

修正 — 信号ハンドラーの raise() の呼び出しを削除

C 標準によると、信号ハンドラーから安全に呼び出すことができる関数は、abort()、_Exit()、quick_exit()、および signal() のみです。

#include <signal.h>
#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <setjmp.h>
#include <syslog.h>
#include <unistd.h>

void SIG_ERR_handler(int signum)
{
    int s0 = signum;
    /* SIGTERM specific handling */
}
void sig_handler(int signum)
{
    int s0 = signum;
	
  
}

int func(void)
{
    if (signal(SIGTERM, SIG_ERR_handler) == SIG_ERR)
    {
        /* Handle error */
    }
    if (signal(SIGINT, sig_handler) == SIG_ERR)
    {
        /* Handle error */
    }
    /* Program code */
    if (raise(SIGINT) != 0)
    {
        /* Handle error */
    }
    /* More code */
    return 0;
}

チェック情報

グループ: Rule 11.信号 (SIG)

バージョン履歴

R2019a で導入

参考

SEI CERT-C をチェック (-cert-c)

トピック

コーディング規約違反のチェックおよびレビュー

外部の Web サイト

SIG30-C

¹ This software has been created by MathWorks incorporating portions of: the “SEI CERT-C Website,” © 2017 Carnegie Mellon University, the SEI CERT-C++ Web site © 2017 Carnegie Mellon University, ”SEI CERT C Coding Standard – Rules for Developing safe, Reliable and Secure systems – 2016 Edition,” © 2016 Carnegie Mellon University, and “SEI CERT C++ Coding Standard – Rules for Developing safe, Reliable and Secure systems in C++ – 2016 Edition” © 2016 Carnegie Mellon University, with special permission from its Software Engineering Institute.

ANY MATERIAL OF CARNEGIE MELLON UNIVERSITY AND/OR ITS SOFTWARE ENGINEERING INSTITUTE CONTAINED HEREIN IS FURNISHED ON AN "AS-IS" BASIS. CARNEGIE MELLON UNIVERSITY MAKES NO WARRANTIES OF ANY KIND, EITHER EXPRESSED OR IMPLIED, AS TO ANY MATTER INCLUDING, BUT NOT LIMITED TO, WARRANTY OF FITNESS FOR PURPOSE OR MERCHANTABILITY, EXCLUSIVITY, OR RESULTS OBTAINED FROM USE OF THE MATERIAL. CARNEGIE MELLON UNIVERSITY DOES NOT MAKE ANY WARRANTY OF ANY KIND WITH RESPECT TO FREEDOM FROM PATENT, TRADEMARK, OR COPYRIGHT INFRINGEMENT.

This software and associated documentation has not been reviewed nor is it endorsed by Carnegie Mellon University or its Software Engineering Institute.