動態(tài)分配在 C/C++ 中普及，通過在運行時根據(jù)需要將系統(tǒng)內(nèi)存分配給應用程序進程，并在不再需要內(nèi)存時檢索內(nèi)存，從而簡化開發(fā)。

但動態(tài)分配被廣泛認為是安全關(guān)鍵型嵌入式軟件的禁忌。使用 C 運行時庫的 malloc（） 和 free（） API 來完成動態(tài)分配的繁重工作，可能會引入災難性的副作用，例如內(nèi)存泄漏或碎片。此外，malloc（） 可能會表現(xiàn)出非常不可預測的性能，并成為多核系統(tǒng)上多線程程序的瓶頸。由于其風險，根據(jù)DO-178B標準，在安全關(guān)鍵型嵌入式航空電子代碼中禁止動態(tài)內(nèi)存分配。

整個嵌入式行業(yè)的開發(fā)人員似乎對這個話題做出了發(fā)自內(nèi)心的反應。在最近的一次互聯(lián)網(wǎng)技術(shù)小組討論中，“你在嵌入式設(shè)計中使用動態(tài)內(nèi)存分配嗎？”這個問題獲得了驚人的77個回答，典型的是“一般來說，它被認為違反了容錯系統(tǒng)的最佳實踐”，以及“如果要求包括‘五個九’（99.999%的正常運行時間）可靠性，硬實時或小內(nèi)存占用，答案是‘從不’。求職者請注意：一位咨詢工程師的面試策略“是溫和地探查潛在員工在實時應用程序中的動態(tài)內(nèi)存分配使用情況。如果他們對此沒有問題，他們就不會被雇用。

更好的策略 - 無論是代碼安全和工作面試成功 - 是將安全關(guān)鍵代碼中的標準（默認）分配器替換為更匹配特定分配方案的自定義內(nèi)存分配函數(shù)。以下討論描述了兩個這樣的自定義內(nèi)存管理器：基于堆棧的分配器和線程本地分配器。擺脫 malloc（） 和 free（） 應用程序的另一種方法——從而獲得更好的性能、穩(wěn)定性和可預測性——是用包含自定義分配器的現(xiàn)成軟件替換基于標準分配函數(shù)的代碼。內(nèi)存數(shù)據(jù)庫系統(tǒng)（IMDS）的使用被討論為這種“購買而不是構(gòu)建”方法的一個例子。

這是標準的，但它是最好的嗎？

為什么標準（動態(tài)）內(nèi)存管理器不適合任務關(guān)鍵型代碼？通常，它們基于列表分配器算法，該算法將內(nèi)存池組織到單向鏈表中的連續(xù)位置（空閑孔）。然后，分配器“行走”這條鏈條，尋找合適的孔來滿足請求。列表分配器是典型的通用功能：它們在各種情況下分配和解分配內(nèi)存方面做得很好 - 但在任務或安全關(guān)鍵系統(tǒng)中“相當好”還不夠好。

基于堆棧的算法：分配和倒帶內(nèi)存

某些應用程序方案需要分配許多生存期較短的對象，然后一次釋放所有對象?；诙褩５姆峙淦鳎ú灰c應用程序調(diào)用堆棧混淆）是一種類型的自定義分配器，在這里運行良好。使用此算法，每次分配返回堆棧指針當前位置的地址，并按請求量推進指針（圖 1）。當不再需要內(nèi)存時，堆棧指針將倒帶。處理開銷減少了，因為沒有要管理的指針鏈，也沒有任何要跟蹤的分配大小或可用孔。這種方法也更安全：不會因不當?shù)慕獬峙涠馔庖雰?nèi)存泄漏，因為應用程序不必跟蹤特定的分配。

圖1：基于堆棧的自定義分配器

與標準列表分配器相比，使用基于堆棧的分配器所消除的開銷隨著應用程序的繼續(xù)運行而增加。當內(nèi)存以隨機順序釋放時，列表分配器通常需要將指針和大小值添加到其鏈中（這稱為碎片），以便指針和大小值表示占總堆大小的更大百分比。因此，列表分配器的開銷（必須管理的元數(shù)據(jù)量以及必須走得更遠才能找到合適的可用漏洞的可能性）隨著應用程序的繼續(xù)運行而增長。（使用基于堆棧的分配器，從某個時間點分配的所有塊都會在一個操作中返回到堆中，從而避免碎片。

多線程、多核分配挑戰(zhàn)

當多線程應用程序陷入多處理器硬件時，由互斥鎖控制的默認 malloc（） 和 free（） 函數(shù)通常是罪魁禍首。使用這些分配器的線程可能會導致鎖定沖突，操作系統(tǒng)通過消耗性能的上下文切換部分解決這些問題。自定義線程本地分配器通過為每個線程分配特定的內(nèi)存池來避免沖突。線程的分配是從這個塊執(zhí)行的，而不會干擾其他線程的請求，從而提高性能和可預測性。當線程分配器內(nèi)存不足時，如果系統(tǒng)允許，其他分配器可以為其分配另一個塊。線程本地分配器對每個線程使用掛起請求列表或 PRL 來協(xié)調(diào)由執(zhí)行原始分配的線程以外的線程釋放的內(nèi)存塊的釋放。由同一線程分配和取消分配的內(nèi)存不需要協(xié)調(diào)，因此不會發(fā)生鎖沖突。

簡而言之，通過從 malloc（） 和 free（） 中刪除內(nèi)存管理責任并將其分配給應用程序，可以避免安全關(guān)鍵代碼中的問題，應用程序使用與特定應用程序任務相吻合的自定義分配器。自定義分配器為該任務的獨占使用留出緩沖區(qū)（通常在啟動期間），并滿足來自它的內(nèi)存分配請求。如果緩沖區(qū)內(nèi)存不足，應用程序?qū)⑹盏酵ㄖ?，并可以釋放緩沖區(qū)內(nèi)的內(nèi)存。或者它可以在其他地方找到更多的內(nèi)存來投入到任務中。耗盡此專用池中的內(nèi)存不會影響系統(tǒng)的其他部分。可以選擇的自定義分配器包括所討論的分配器，以及位圖分配器、塊分配器等。

通過第三方應用程序分配

自定義內(nèi)存分配器的優(yōu)勢也可以通過集成使用它們的第三方軟件來利用。IMDS是受益于自定義分配器的良好候選者，因為它們專門設(shè)計用于管理RAM中的應用程序?qū)ο?。圖 2 說明了使用 malloc（） 和 free（） 進行分配/解除分配。圖3顯示了使用McObject的eXtremeDB的相同過程，這是一個IMDS，它結(jié)合了自定義分配器，包括基于堆棧和線程本地。在圖 2 的開頭，C 程序定義了一個結(jié)構(gòu)，聲明了一個指向該結(jié)構(gòu)實例的指針，并通過 malloc（） 為其分配內(nèi)存。

圖2：使用 malloc（） 和 free（） 進行內(nèi)存分配

圖3：使用內(nèi)存數(shù)據(jù)庫系統(tǒng)的內(nèi)存分配

使用IMDS的程序員在數(shù)據(jù)庫模式文件中定義類，該文件被處理（通過特殊的編譯器）以產(chǎn)生.C 文件，以及 。包含類型定義和函數(shù)原型的 H 文件。

如果使用 malloc/free 的程序是多線程的，并且線程將共享 Sensor 對象，則開發(fā)人員必須實現(xiàn)并發(fā)控制。使用IMDS，并發(fā)性通過事務自動管理。圖 3 顯示了事務如何開始 （mco_trans_start） 并獲取事務句柄。

調(diào)用 Sensor_new（） 會聲明一些專用于新傳感器對象的 IMDS 內(nèi)存池。（在軍事/航空航天應用中，傳感器對象可以代表任何東西，從用于跟蹤導彈目標的光學傳感器到用于化學戰(zhàn)防御的生物傳感器或幫助導航飛機的運動傳感器。Sensor_new（） 返回數(shù)據(jù)庫對象的句柄，通過該句柄可以寫入和/或讀取對象的值。相比之下，C 程序直接處理結(jié)構(gòu)的字段，從而在多線程應用程序中創(chuàng)建并發(fā)訪問控制的需求。

當 C 程序完成使用 Sensor 結(jié)構(gòu)時，free（） 將內(nèi)存返回到堆中。當帶有IMDS的代碼完成時，數(shù)據(jù)庫中的空間被放棄，事務結(jié)束，用于傳感器對象的內(nèi)存返回到專用內(nèi)存池。

eXtremeDB IMDS可能會內(nèi)存不足，但這會產(chǎn)生“數(shù)據(jù)庫已滿”錯誤消息，應用程序可以處理該錯誤消息。相反，由 malloc（） 和 free（） 引起的內(nèi)存碎片和泄漏可能會破壞整個系統(tǒng)的穩(wěn)定性。IMDS提供了一種“幕后”工作的機制，通過使用多種底層分配器類型，以更高的效率和靈活性分配和釋放內(nèi)存，避免malloc（）和free（）固有的風險。

但是，自定義內(nèi)存管理器并不是IMDS所特有的。例如，用于管理傳感器網(wǎng)絡(luò)的現(xiàn)成代碼非常適合一種稱為塊分配器的自定義內(nèi)存管理器。雖然離散傳感器值事先不知道，但這些值的大小是固定的（如 4 字節(jié)時間戳和 8 字節(jié)值），并且塊分配器擅長分配預定義大小的內(nèi)存塊?；诙褩５姆峙淦鲗τ谌魏斡嬎阈枨蠖己苡杏?，可以分為需要所有內(nèi)存的第一階段和不再需要所有內(nèi)存的第二階段。任何必須解析某些輸入流的程序都符合此描述。例如，通信監(jiān)視程序可能會解析文本流（口語），構(gòu)建令牌樹（單詞或短語），然后對其執(zhí)行一些后處理。這種后處理可能是決定給定的單詞或短語是否與其上下文相關(guān)。

事實上，很難想象一種應用程序類型不會從面向其特定分配模式和挑戰(zhàn)的內(nèi)存管理中受益。當然，自定義內(nèi)存管理為已經(jīng)復雜的軟件開發(fā)任務增加了另一個考慮因素。但是，進入安全關(guān)鍵領(lǐng)域的軟件工程師知道，與消費者或業(yè)務應用程序開發(fā)相比，需求和風險更高。編寫避免動態(tài)內(nèi)存分配而是使用一個或多個自定義內(nèi)存管理器的代碼不太方便。但它增加了安全性和穩(wěn)定性，這是安全關(guān)鍵系統(tǒng)的工程師應該接受的權(quán)衡。

審核編輯：郭婷