【腾讯云代码分析】C/C++数组溢出检查规则分享

官方介绍：https://cloud.tencent.com/product/tcap

境内开源：https://cnb.cool/tca/code-analysis

境外开源：https://github.com/Tencent/CodeAnalysis

背景介绍

▼

数组溢出缺陷是程序访问数组时超出其内存边界，因索引错误或未校验输入导致越界读写，可能会导致程序崩溃、数据篡改及高危漏洞（如任意代码执行）。防范方法包括使用安全编程语言、边界检查、避免不安全函数、借助代码分析工具审查代码和遵循安全实践。

为了解决该问题，TCA针对性实现了BuffOverFlow规则。

规则推荐

▼

工具：TCA-Armory-Q1

规则：BuffOverFlow

BuffOverFlow检查strcpy,strcat字符串复制/拼接过程中长度不当导致的溢出， 同样gets,scanf函数也视为不安全。

规则使用说明

▼

进入页面，点击方案->规则配置 -> 自定义规则包-> 添加规则 ->搜索规则名BuffOverFlow->选择需要添加的规则 ->批量添加规则

图片

图片