Безпека пам’яті у C++: ініціативи WG21 (lifetime, contracts, safety profiles) та емпіричний аналіз open-source проєктів

Abstract

У роботі показано, аналіз по підвищенню безпеки пам’яті (memory safety) у C++ у контексті сучасних ініціатив ISO WG21 та практичного аналізу помилок у реальному коді. Узагальнено проблематику undefined behavior (UB) і класів вразливостей, що виникають унаслідок помилок часу життя об’єктів, доступів поза межами буферів та некоректного керування ресурсами. Розглянуто підходи WG21/SG23 до формалізації Lifetime Safety, Contracts та Safety Profiles (профілів безпеки) як механізмів поступового підвищення гарантій без руйнування екосистеми C++. Проведено відтворюваний експеримент на трьох open-source бібліотеках (fmt, spdlog, nlohmann/json) із застосуванням g++ 13.3 та санітайзерів AddressSanitizer (ASan) і UndefinedBehaviorSanitizer (UBSan). Подано протокол збірки, тестування, збору та нормалізації метрик; наведено таблиці результатів і діаграми. Емпіричні дані демонструють низьку частоту runtime-помилок у зрілих бібліотеках за умов покриття тестами, але підтверджують практичну цінність інструментів та напрямів стандартизації для системного зменшення ризиків UB.