動(dòng)態(tài)分配在 C/C++ 中普及，通過在運(yùn)行時(shí)根據(jù)需要將系統(tǒng)內(nèi)存分配給應(yīng)用程序進(jìn)程，并在不再需要內(nèi)存時(shí)檢索內(nèi)存，從而簡化開發(fā)。

但動(dòng)態(tài)分配被廣泛認(rèn)為是安全關(guān)鍵型嵌入式軟件的禁忌。使用 C 運(yùn)行時(shí)庫的 malloc（） 和 free（） API 來完成動(dòng)態(tài)分配的繁重工作，可能會(huì)引入災(zāi)難性的副作用，例如內(nèi)存泄漏或碎片。此外，malloc（） 可能會(huì)表現(xiàn)出非常不可預(yù)測的性能，并成為多核系統(tǒng)上多線程程序的瓶頸。由于其風(fēng)險(xiǎn)，根據(jù)DO-178B標(biāo)準(zhǔn)，在安全關(guān)鍵型嵌入式航空電子代碼中禁止動(dòng)態(tài)內(nèi)存分配。

整個(gè)嵌入式行業(yè)的開發(fā)人員似乎對這個(gè)話題做出了發(fā)自內(nèi)心的反應(yīng)。在最近的一次互聯(lián)網(wǎng)技術(shù)小組討論中，“你在嵌入式設(shè)計(jì)中使用動(dòng)態(tài)內(nèi)存分配嗎？”這個(gè)問題獲得了驚人的77個(gè)回答，典型的是“一般來說，它被認(rèn)為違反了容錯(cuò)系統(tǒng)的最佳實(shí)踐”，以及“如果要求包括‘五個(gè)九’（99.999%的正常運(yùn)行時(shí)間）可靠性，硬實(shí)時(shí)或小內(nèi)存占用，答案是‘從不’。求職者請注意：一位咨詢工程師的面試策略“是溫和地探查潛在員工在實(shí)時(shí)應(yīng)用程序中的動(dòng)態(tài)內(nèi)存分配使用情況。如果他們對此沒有問題，他們就不會(huì)被雇用。

更好的策略 - 無論是代碼安全和工作面試成功 - 是將安全關(guān)鍵代碼中的標(biāo)準(zhǔn)（默認(rèn)）分配器替換為更匹配特定分配方案的自定義內(nèi)存分配函數(shù)。以下討論描述了兩個(gè)這樣的自定義內(nèi)存管理器：基于堆棧的分配器和線程本地分配器。擺脫 malloc（） 和 free（） 應(yīng)用程序的另一種方法——從而獲得更好的性能、穩(wěn)定性和可預(yù)測性——是用包含自定義分配器的現(xiàn)成軟件替換基于標(biāo)準(zhǔn)分配函數(shù)的代碼。內(nèi)存數(shù)據(jù)庫系統(tǒng)（IMDS）的使用被討論為這種“購買而不是構(gòu)建”方法的一個(gè)例子。

這是標(biāo)準(zhǔn)的，但它是最好的嗎？

為什么標(biāo)準(zhǔn)（動(dòng)態(tài)）內(nèi)存管理器不適合任務(wù)關(guān)鍵型代碼？通常，它們基于列表分配器算法，該算法將內(nèi)存池組織到單向鏈表中的連續(xù)位置（空閑孔）。然后，分配器“行走”這條鏈條，尋找合適的孔來滿足請求。列表分配器是典型的通用功能：它們在各種情況下分配和解分配內(nèi)存方面做得很好 - 但在任務(wù)或安全關(guān)鍵系統(tǒng)中“相當(dāng)好”還不夠好。

基于堆棧的算法：分配和倒帶內(nèi)存

某些應(yīng)用程序方案需要分配許多生存期較短的對象，然后一次釋放所有對象?；诙褩５姆峙淦鳎ú灰c應(yīng)用程序調(diào)用堆?；煜┦且环N類型的自定義分配器，在這里運(yùn)行良好。使用此算法，每次分配返回堆棧指針當(dāng)前位置的地址，并按請求量推進(jìn)指針（圖 1）。當(dāng)不再需要內(nèi)存時(shí)，堆棧指針將倒帶。處理開銷減少了，因?yàn)闆]有要管理的指針鏈，也沒有任何要跟蹤的分配大小或可用孔。這種方法也更安全：不會(huì)因不當(dāng)?shù)慕獬峙涠馔庖雰?nèi)存泄漏，因?yàn)閼?yīng)用程序不必跟蹤特定的分配。

圖1：基于堆棧的自定義分配器

與標(biāo)準(zhǔn)列表分配器相比，使用基于堆棧的分配器所消除的開銷隨著應(yīng)用程序的繼續(xù)運(yùn)行而增加。當(dāng)內(nèi)存以隨機(jī)順序釋放時(shí)，列表分配器通常需要將指針和大小值添加到其鏈中（這稱為碎片），以便指針和大小值表示占總堆大小的更大百分比。因此，列表分配器的開銷（必須管理的元數(shù)據(jù)量以及必須走得更遠(yuǎn)才能找到合適的可用漏洞的可能性）隨著應(yīng)用程序的繼續(xù)運(yùn)行而增長。（使用基于堆棧的分配器，從某個(gè)時(shí)間點(diǎn)分配的所有塊都會(huì)在一個(gè)操作中返回到堆中，從而避免碎片。

多線程、多核分配挑戰(zhàn)

當(dāng)多線程應(yīng)用程序陷入多處理器硬件時(shí)，由互斥鎖控制的默認(rèn) malloc（） 和 free（） 函數(shù)通常是罪魁禍?zhǔn)?。使用這些分配器的線程可能會(huì)導(dǎo)致鎖定沖突，操作系統(tǒng)通過消耗性能的上下文切換部分解決這些問題。自定義線程本地分配器通過為每個(gè)線程分配特定的內(nèi)存池來避免沖突。線程的分配是從這個(gè)塊執(zhí)行的，而不會(huì)干擾其他線程的請求，從而提高性能和可預(yù)測性。當(dāng)線程分配器內(nèi)存不足時(shí)，如果系統(tǒng)允許，其他分配器可以為其分配另一個(gè)塊。線程本地分配器對每個(gè)線程使用掛起請求列表或 PRL 來協(xié)調(diào)由執(zhí)行原始分配的線程以外的線程釋放的內(nèi)存塊的釋放。由同一線程分配和取消分配的內(nèi)存不需要協(xié)調(diào)，因此不會(huì)發(fā)生鎖沖突。

簡而言之，通過從 malloc（） 和 free（） 中刪除內(nèi)存管理責(zé)任并將其分配給應(yīng)用程序，可以避免安全關(guān)鍵代碼中的問題，應(yīng)用程序使用與特定應(yīng)用程序任務(wù)相吻合的自定義分配器。自定義分配器為該任務(wù)的獨(dú)占使用留出緩沖區(qū)（通常在啟動(dòng)期間），并滿足來自它的內(nèi)存分配請求。如果緩沖區(qū)內(nèi)存不足，應(yīng)用程序?qū)⑹盏酵ㄖ?，并可以釋放緩沖區(qū)內(nèi)的內(nèi)存?；蛘咚梢栽谄渌胤秸业礁嗟膬?nèi)存來投入到任務(wù)中。耗盡此專用池中的內(nèi)存不會(huì)影響系統(tǒng)的其他部分?？梢赃x擇的自定義分配器包括所討論的分配器，以及位圖分配器、塊分配器等。

通過第三方應(yīng)用程序分配

自定義內(nèi)存分配器的優(yōu)勢也可以通過集成使用它們的第三方軟件來利用。IMDS是受益于自定義分配器的良好候選者，因?yàn)樗鼈儗ｉT設(shè)計(jì)用于管理RAM中的應(yīng)用程序?qū)ο?。圖 2 說明了使用 malloc（） 和 free（） 進(jìn)行分配/解除分配。圖3顯示了使用McObject的eXtremeDB的相同過程，這是一個(gè)IMDS，它結(jié)合了自定義分配器，包括基于堆棧和線程本地。在圖 2 的開頭，C 程序定義了一個(gè)結(jié)構(gòu)，聲明了一個(gè)指向該結(jié)構(gòu)實(shí)例的指針，并通過 malloc（） 為其分配內(nèi)存。

圖2：使用 malloc（） 和 free（） 進(jìn)行內(nèi)存分配

圖3：使用內(nèi)存數(shù)據(jù)庫系統(tǒng)的內(nèi)存分配

使用IMDS的程序員在數(shù)據(jù)庫模式文件中定義類，該文件被處理（通過特殊的編譯器）以產(chǎn)生.C 文件，以及 。包含類型定義和函數(shù)原型的 H 文件。

如果使用 malloc/free 的程序是多線程的，并且線程將共享 Sensor 對象，則開發(fā)人員必須實(shí)現(xiàn)并發(fā)控制。使用IMDS，并發(fā)性通過事務(wù)自動(dòng)管理。圖 3 顯示了事務(wù)如何開始 （mco_trans_start） 并獲取事務(wù)句柄。

調(diào)用 Sensor_new（） 會(huì)聲明一些專用于新傳感器對象的 IMDS 內(nèi)存池。（在軍事/航空航天應(yīng)用中，傳感器對象可以代表任何東西，從用于跟蹤導(dǎo)彈目標(biāo)的光學(xué)傳感器到用于化學(xué)戰(zhàn)防御的生物傳感器或幫助導(dǎo)航飛機(jī)的運(yùn)動(dòng)傳感器。Sensor_new（） 返回?cái)?shù)據(jù)庫對象的句柄，通過該句柄可以寫入和/或讀取對象的值。相比之下，C 程序直接處理結(jié)構(gòu)的字段，從而在多線程應(yīng)用程序中創(chuàng)建并發(fā)訪問控制的需求。

當(dāng) C 程序完成使用 Sensor 結(jié)構(gòu)時(shí)，free（） 將內(nèi)存返回到堆中。當(dāng)帶有IMDS的代碼完成時(shí)，數(shù)據(jù)庫中的空間被放棄，事務(wù)結(jié)束，用于傳感器對象的內(nèi)存返回到專用內(nèi)存池。

eXtremeDB IMDS可能會(huì)內(nèi)存不足，但這會(huì)產(chǎn)生“數(shù)據(jù)庫已滿”錯(cuò)誤消息，應(yīng)用程序可以處理該錯(cuò)誤消息。相反，由 malloc（） 和 free（） 引起的內(nèi)存碎片和泄漏可能會(huì)破壞整個(gè)系統(tǒng)的穩(wěn)定性。IMDS提供了一種“幕后”工作的機(jī)制，通過使用多種底層分配器類型，以更高的效率和靈活性分配和釋放內(nèi)存，避免malloc（）和free（）固有的風(fēng)險(xiǎn)。

但是，自定義內(nèi)存管理器并不是IMDS所特有的。例如，用于管理傳感器網(wǎng)絡(luò)的現(xiàn)成代碼非常適合一種稱為塊分配器的自定義內(nèi)存管理器。雖然離散傳感器值事先不知道，但這些值的大小是固定的（如 4 字節(jié)時(shí)間戳和 8 字節(jié)值），并且塊分配器擅長分配預(yù)定義大小的內(nèi)存塊。基于堆棧的分配器對于任何計(jì)算需求都很有用，可以分為需要所有內(nèi)存的第一階段和不再需要所有內(nèi)存的第二階段。任何必須解析某些輸入流的程序都符合此描述。例如，通信監(jiān)視程序可能會(huì)解析文本流（口語），構(gòu)建令牌樹（單詞或短語），然后對其執(zhí)行一些后處理。這種后處理可能是決定給定的單詞或短語是否與其上下文相關(guān)。

事實(shí)上，很難想象一種應(yīng)用程序類型不會(huì)從面向其特定分配模式和挑戰(zhàn)的內(nèi)存管理中受益。當(dāng)然，自定義內(nèi)存管理為已經(jīng)復(fù)雜的軟件開發(fā)任務(wù)增加了另一個(gè)考慮因素。但是，進(jìn)入安全關(guān)鍵領(lǐng)域的軟件工程師知道，與消費(fèi)者或業(yè)務(wù)應(yīng)用程序開發(fā)相比，需求和風(fēng)險(xiǎn)更高。編寫避免動(dòng)態(tài)內(nèi)存分配而是使用一個(gè)或多個(gè)自定義內(nèi)存管理器的代碼不太方便。但它增加了安全性和穩(wěn)定性，這是安全關(guān)鍵系統(tǒng)的工程師應(yīng)該接受的權(quán)衡。

審核編輯：郭婷