防微杜渐——读《C安全编码标准》

　　　　　　　　　　　　　　　　　　　　　　　　　　防微杜渐——读《C安全编码标准》

　　首先这本书的名字是非常洋气的——《C安全编码标准》。然而映入眼帘的却不仅仅是冷冰冰的编码，还有那一套非常严谨的风险评估标准和问题处理方法。对于大型的软件工程，debug是其中必不可少的一部分，也是非常繁琐的一部分。那么如何通过合适的管理方法来将失误掐灭在萌芽状态，就是这本书讲述的内容。

　　虽然这本书仅仅以C语言为例，但是它的思想核心确实非常普适的。一方面我们要善于发现问题，同时也要善于求助，作者在编写本书的过程中借助了一些网络社区和Wiki的帮助，再加上自己的处理，才让这本书活色生香。更巧妙的是，Wiki作为本书的延伸，还将不断地扩充，形成了一个动态的C安全编码的生态环境。这种长远的眼光在令我赞叹的同时，也令我深思，在如今这个时代，团队协作越来越成为一种潮流，而用户群体的主动发现，汇报并解决问题的流程同样可以不恰当地形容为一种团队协作，这是一种无意识但异常强大的力量。如果我们能够在开发产品的过程中善用这份力量，将会使我们事半功倍。

　　从另一个方面来看，系统化地将问题（建议）归类也是本书成功的一点原因。本书中对的风险评级和优先级的量化使用令我印象颇深。通常我们在日常的学习生活中，错误就是错误，并不会有意识地将其归类，更别说量化其风险评级了。而对于一个项目来说，量化问题的风险和优先度能够为解决问题提供一个很好的指南。对于“这个问题好像要花费更多的时间，那个应该少一点”这种语句来说，“这个bug的优先度是L3，那个是L2，所以先解决这个”更加简洁明快。推而广之，在今后的团队协作中，量化的思维依旧适用，从绩效考评到界面的设计，对模糊的言语来说，一个准确的数词描述总能够更胜一筹。

　　此外，危机意识和小心谨慎的确是大型项目中的法宝。纵观书中的许多问题，很多都是一些细小琐碎的错误。然而尽管是这样的小失误，在今后的日子中若日积月累，亦会导致巨大的漏洞。小心谨慎虽然不能帮助我们避免掉工作中的所有失误（显而易见，这也是不太可能的，毕竟人无完人，金无足赤），但是能够让我们回避一些致命的低级失误。而由于人的惰性吗，心理上的小心谨慎难以具体地施行，因此我们需要一些工具，制度来规范我们的行为。比如说GitHub，比如说visual studio，又比如说小组内制定的代码规范等等。好的工具和制度是有灵魂的，它不单单是一种冷冰冰的铁律，而是团队协作精神的集体体现。

　　因此，在团队协作构建一个项目期间，《C安全编码标准》给我带来的启示如上所述。对于我来说，团结和利用好用户是调试的一种好手段，量化评级则是有效交流和执行任务的稳固根基，危机意识和小心谨慎是团队成员抵御错误的坚实堤坝，有效利用这几点，相信将是我们良好工作的开端。