ChangeLog

Исправлена ошибка подключения заголовочных файлов стандартной библиотеки C, отсутствующих в некоторых встроенных ОС, в соответствующих заголовочных файлах с fortified-версиями функций.

В -Safe3 добавлена опция -fkeep-div-by-zero для реализации безопасных преобразований в исходном и машинном кодe операций целочисленного деления и взятия остатка, когда делитель равен нулю.

В -Safe3 добавлена опция -fkeep-oversized-shifts для реализации безопасных преобразований в исходном и машинном кодe операций побитового сдвига для случаев, когда величина сдвига отрицательная или превышает ширину типа сдвигаемого значения.

В соответствии с новой редакцией ГОСТ 2026 года в -Safe3 добавлено принудительное включение опций:

• -D_GLIBCXX_ASSERTIONS и -D_LIBCPP_HARDENING_MODE=_LIBCPP_HARDENING_MODE_FAST включают в libstdc++ и libc++, реализациях стандартной библиотеки C++, дополнительные проверки безопасности, которые позволяют обнаруживать опасные операции при работе с контейнерами;
• -Wl,-z,relro,-z,now включает выполнение динамическим загрузчиком всех релокаций и запрет записи в глобальную таблицу смещений после загрузки исполняемых файлов и динамических библиотек;
• -Wl,-z,noexecstack запрещает исполнение кода на стеке.

Опция -ftrivial-auto-var-init=zero, инициализирующая переменные из автоматической памяти нулями, перенесена из -Safe2 в -Safe3.

Добавлен демон clang-licensed, запускаемый Safelang для проверки лицензии.

Изменение опций статической рандомизации:

• -frandom-func-and-globals-reorder разделена на две независимые опции -frandom-func-reorder и -frandom-globals-reorder;
• -floc-var-per переименована в -frandom-locals-reorder;
• -fadd-loc-var= переделана в похожую опцию -fadd-random-locals-percent=, которая задаёт добавляемое в каждой функции количество переменных в процентах от количества существующих локальных переменных в соответствующей функции. Значение опции, равное -1, задаёт значение по умолчанию равное 50%. А ограничение на число добавляемых переменных сверху составляет 100 переменных;
• добавлена опция -fstatic-random-reorder, которая включает рандомизацию функций и глобальных переменных в модуле, а также рандомизацию локальных переменных вместе с добавлением случайных локальных переменных (по умолчанию 50% от общего числа) в каждой функции.

Добавлены опции для включения уникального распределения автоматической и статической памяти на этапе компиляции:

• -frandom-func-reorder включает уникальное распределение памяти для машинного кода функций для каждого процесса трансляции;
• -frandom-func-and-globals-reorder включает уникальное распределение памяти для машинного кода функций и глобальных переменных программного модуля в соответствующей области памяти для каждого процесса трансляции;
• -floc-var-per включает уникальное распределение локальных переменных функций для каждого процесса трансляции;
• -fadd-loc-var= задаёт число фиктивных переменных, добавляемых в каждую функцию для каждого процесса трансляции. Значение опции, равное -1, задаёт случайное количество фиктивных переменных;
• распределение памяти конфигурируется целочисленным параметром (ключом), при этом для одинаково задаваемых ключей и одного и того же исходного кода компилятор создаёт одинаковое распределение памяти. Для конфигурации ключа используется опция -mllvm -rng-seed=.

В -Safe3 добавлено принудительное включение заголовочных файлов с fortified-версиями функций стандартной библиотеки C, защищающими от переполнения буфера, если во время компиляции возможно определить выражение для его размера. Также отключается замена функций стандартной библиотеки для работы с памятью и строками на эквивалентные им последовательности машинных инструкций. Реализовано предупреждение на -Safe3 и ошибка на -Safe2 при использовании функции gets.

Исправлено аварийное завершение работы компилятора при сборке кода для wasm32-wasi с использованием механизма safe exit и опции -fhandle-safe-error-handler=exit или -fhandle-safe-error-handler=abort. Для этого добавлена поддержка вызовов функций стандартной библиотеки _Exit и abort для WebAssembly.

В -Safe1 добавлено принудительное включение санитайзеров, проверяющих, что:

• значение типа bool равно 0 или 1;
• при преобразовании значения float в int не происходит переполнения;
• правый операнд побитового сдвига неотрицателен и меньше ширины типа;
• не происходит знакового переполнения;
• чтение или запись совершаются только по указателю, чей адрес выровнен по размеру операнда;
• нет использования нулевого указателя;
• чтение или запись осуществляется по индексу, не выходящему за пределы массива;
• нет переполнения типа указателя;
• при непрямом вызове сигнатура функции соответствует типу указателя на неё;
• во встроенные функции передаются корректные параметры;
• не передаётся управление коду, помеченному как недостижимый;
• нет деления на ноль или взятия остатка от нуля;
• массив, выделяемый в автоматической памяти, имеет положительный размер;
• значение перечисляемого типа в диапазоне представимых значений этого типа;
• нет использования памяти за пределами объекта.

В -Safe2 добавлено принудительное включение опций, обеспечивающих следующую функциональность:

• автоматическая инициализация переменных из автоматической памяти нулями;
• остановка компиляции с ошибкой для предупреждений 3 класса.

В -Safe3 добавлено принудительное включение опций, обеспечивающих следующую функциональность:

• предотвращение оптимизаций, игнорирующих возможность переполнения знаковых целых, совпадения значений указателей разных типов, разыменования нулевого указателя;
• механизм защиты стека;
• генерация позиционно-независимого кода;
• предупреждения о выходе за границы массива, делении на ноль и побитовом сдвиге, правый операнд которого отрицателен либо не меньше размера левого операнда (в битах).

Добавлена опция -fhandle-safe-error=, включающая safe exit для функций safe-fortify, stack-protector, safe-sanitize. Опция -fhandle-safe-error-handler= позволяет выбрать способ аварийного завершения программы: exit (_Exit из libc), exit_safe (__builtin___exit_safe, реализованный в компиляторе), abort (из libc) или trap (__builtin_trap). Для exit и exit_safe возможно задать код возврата с помощью опции -fhandle-safe-error-exit-code=. Отключить safe exit для части функций или полностью можно с помощью опций -fno-handle-safe-error= и -fno-handle-safe-error-handler.