NASA的10條代碼編寫原則及原因分析

美國宇航局（NaTIonal AeronauTIcs and Space AdministraTIon，縮寫為 NASA）是美國聯(lián)邦政府的一個獨立機構(gòu)，負責制定、實施美國的民用太空計劃、與開展航空科學暨太空科學的研究。在太空計劃之外，美國國家航空航天局還進行長期的民用以及軍用航空航天研究。

在普通人的眼中，NASA是一個很“高級”的機構(gòu)，其成員包含大量不同領(lǐng)域的科學家和研究人員。與其他任何組織機構(gòu)類似，NASA的日常工作，以及所執(zhí)行的幾乎全部項目也離不開計算機的輔助，出于需求的特殊性和重要性，他們所使用的很多計算機軟件都是內(nèi)部自行開發(fā)的，在一些重要項目的關(guān)鍵領(lǐng)域發(fā)揮著作用。

去年，一位前NASA實習生把美國阿波羅登月項目的11號計算機 --- 阿波羅導航計算機 （Apollo Guidance Computer） 系統(tǒng)源代碼上傳到了 GitHub，此舉在開發(fā)者群體中引起了極大的熱議。

此外，NASA官方也已將自己的部分源代碼開源到 GitHub，讓我們得以管窺這一頂尖科研機構(gòu)內(nèi)的聰明大腦們寫代碼的專業(yè)水平。

大型的復雜軟件項目通常會遵循一定的代碼編寫標準和指南。這些指南奠定了軟件開發(fā)過程中必須遵守的基本原則。

a） 代碼的結(jié)構(gòu)如何安排？

b） 應(yīng)當或不應(yīng)當使用哪些語言特性？

出于效果的角度考慮，這些原則必須盡可能精簡并且必須足夠具體，這樣才能更好地被人理解并記憶。

本文將介紹由 NASA 噴氣推進實驗室首席科學家 Gerard J. Holzmann 所提出的，側(cè)重于安全參數(shù)的10條代碼編寫原則。當然，這些原則也適用于其他編程語言。

為 NASA 工作的全球頂尖程序員在編寫高度安全的代碼時就沿襲了這樣的一套指南。實際上，很多組織，包括NASA噴氣推進實驗室主要會選擇使用C語言編寫代碼。

原因在于這種語言具備完善的工具支持，包括邏輯模型分離器、調(diào)試器、靜態(tài)編譯器、強源（Strong source）代碼分析器，以及度量工具等。

有時候，編寫代碼必須遵守一定的原則，尤其是在代碼的正確性會對人的生命產(chǎn)生決定性影響的領(lǐng)域，例如飛機、將宇航員送上同步軌道的航天器，以及距離居住地僅幾英里遠的核電站等設(shè)施運行的控制代碼。

原則1 – 簡化控制流程（Simple Control Flow）

使用盡可能精簡的控制流程構(gòu)造編寫程序 —— 不要使用setjmp或longjmp構(gòu)造、goto語句，以及直接或間接的recursion。

原因：簡化控制流程有助于提高代碼清晰度，增強代碼可驗證能力。不使用遞歸，便不會產(chǎn)生循環(huán)的函數(shù)調(diào)用圖，這樣也可證明所有本應(yīng)有界的執(zhí)行實際上都是有界的。

原則2 – 為循環(huán)使用固定次數(shù)上限（Fixed Upper Bound for Loops）

所有循環(huán)必須有固定次數(shù)的上限。我們可以通過驗證工具靜態(tài)地證明，為循環(huán)中迭代數(shù)量所設(shè)立的上限次數(shù)未被超越。

如果無法以靜態(tài)方式對循環(huán)的次數(shù)界限加以證明，則可認為未遵守該原則。

原因：為循環(huán)設(shè)置次數(shù)界限，避免使用遞歸，這些做法有助于預防代碼失控。然而該原則無法適用于本就不應(yīng)終止的迭代（例如進程調(diào)度器）。此時將沿用該原則的逆向原則：必須能夠靜態(tài)地證明迭代不能終止。

原則3 – 不使用動態(tài)內(nèi)存分配（No Dynamic Memory AllocaTIon）

不要在初始化完成后進行動態(tài)內(nèi)存分配。

原因：諸如malloc等內(nèi)存分配機制，以及垃圾回收器通常會產(chǎn)生無法預知的行為，進而可能會對性能產(chǎn)生影響。更重要的是，還有可能因為程序員的失誤造成內(nèi)存錯誤，例如：

試圖分配超過可用物理內(nèi)存數(shù)的內(nèi)存

忘記釋放內(nèi)存

繼續(xù)使用已被釋放的內(nèi)存

對已分配內(nèi)存進行越界使用

應(yīng)強制所有模塊位于固定大小、預先分配的存儲區(qū)域中，借此可避免此類問題，并簡化內(nèi)存使用情況的驗證工作。

堆中未分配內(nèi)存的情況下，動態(tài)請求內(nèi)存的唯一方式是使用棧內(nèi)存。

原則4 – 不使用冗長的函數(shù)（No Large Functions）

任何函數(shù)的長度不應(yīng)超過使用標準參考格式（每個聲明最多一行，每個語句最多一行）打印的紙張上一頁紙所能容納的字符數(shù)。這意味著函數(shù)的代碼不應(yīng)超過60行。

原因：過長的函數(shù)通常意味著結(jié)構(gòu)并非最優(yōu)。每個函數(shù)都應(yīng)是可理解且可驗證的單一邏輯單位。如果在計算機顯示器上需要多屏界面才能完整顯示，這樣的邏輯單位通常會極難理解。

原則5 – 低斷言密度（Low Assertion Density）