int var; // нарушение: переменная var не проинициализирована
Причина. Неинициализированные переменные являются традиционным источником ошибок.
Исключение. Массив или контейнер, который будет немедленно заполнен данными из потока ввода, инициализировать не обязательно.
R403. Не следует использовать операторы приведения.
Причины. Операторы приведения часто бывают источником ошибок.
Исключение. Разрешается использовать оператор
dynamic_cast
.
Исключение. Приведение в новом стиле можно использовать для преобразования адресов аппаратного обеспечения в указатели, а также для преобразования указателей типа
void*
, полученных из внешних источников (например, от библиотеки графического пользовательского интерфейса), в указатели соответствующих типов.
R404. Встроенные массивы нельзя использовать в интерфейсах. Иначе говоря, указатель, используемый как аргумент функции, должен рассматриваться только как указатель на отдельный элемент. Для передачи массивов используйте класс
Array_ref
.
Причина. Когда массив передается в вызываемую функцию с помощью указателя, а количество его элементов не передается, может возникнуть ошибка. Кроме того, комбинация неявного преобразования массива в указатель и неявного преобразования объекта производного класса в объект базового класса может привести к повреждению памяти.
Правила для классов
R500. Для классов без открытых данных-членов используйте ключевое слово
class
, а для классов без закрытых данных-членов — ключевое слово
struct
. Не используйте классы, в которых перемешаны открытые и закрытые члены.
Причина. Ясность.
r501. Если класс имеет деструктор или член, являющийся указателем на ссылочный тип, то он должен иметь копирующий конструктор, а копирующий оператор присваивания должен быть либо определен, либо запрещен.
Причина. Деструктор обычно освобождает ресурс. По умолчанию семантика копирования редко бывает правильной по отношению к членам класса, являющимся указателями или ссылками, а также по отношению к классам без деструкторов.
R502. Если класс содержит виртуальную функцию, то он должен иметь виртуальный конструктор.
Причина. Если класс имеет виртуальную функцию, то его можно использовать в качестве базового интерфейсного класса. Функция, обращающаяся к этому объекту только через этот базовый класс, может удалить его, поэтому производные классы должны иметь возможность очистить память (с помощью своих деструкторов).
r503. Конструктор, принимающий один аргумент, должен быть объявлен с помощью ключевого слова
explicit
.
Причина. Для того чтобы избежать непредвиденных неявных преобразований.
Правила для систем с жесткими условиями реального времени
R800. Не следует применять исключения.
Причина. Результат непредсказуем.
R801. Оператор
new
можно использовать только на этапе запуска.
Причина. Результат непредсказуем.
Исключение. Для памяти, выделенной из стека, может быть использован синтаксис размещения (в его стандартном значении).
R802. Не следует использовать оператор
delete
.
Причина. Результат непредсказуем; может возникнуть фрагментация памяти.
R803. Не следует использовать оператор
dynamic_cast
.
Причина. Результат непредсказуем (при традиционном способе реализации оператора).
R804. Не следует использовать стандартные библиотечные контейнеры, за исключением класса
std::array
.
Причина. Результат непредсказуем (при традиционном способе реализации оператора).
Правила для систем, предъявляющих особые требования к вопросам безопасности
R900. Операции инкрементации и декрементации не следует использовать как элементы выражений.
Пример:
int x = v[++i]; // нарушение
Пример:
++i;
int x = v[i]; // OK
Причина. Такую инкрементацию легко не заметить.
R901. Код не должен зависеть от правил приоритета операций ниже уровня арифметических выражений.
Пример:
x = a*b+c; // OK
Пример:
if( a<b || c<=d) // нарушения: поместите инструкции в скобки (a<b)
// и (c<=d)
Причина. Путаница с приоритетами постоянно встречается в программах, авторы которых слабо знают язык C/C++.
Наша нумерация непоследовательна, поскольку у нас должна быть возможность добавлять новые правила, не нарушая их общую классификацию. Очень часто правила помнят по их номерам, поэтому их перенумерация может вызвать неприятие пользователей.
25.6.3. Реальные стандарты программирования
Для языка С++ существует много стандартов программирования. Применение большинства из них ограничено стенами корпораций и не доступно для широкой публики. Во многих случаях стандарты делают доброе дело, но, вероятно, не для программистов, работающих в этих корпорациях. Перечислим стандарты, которые признаны хорошими в своих предметных областях.
Henricson, Mats, and Erik Nyquist. Industrial Strength C++: Rules and Recommendations. Prentice Hall, 1996. ISBN 0131209655. Набор правил, разработанных для телекоммуникационных компаний. К сожалению, эти правила несколько устарели: книга была издана до появления стандарта ISO C++. В частности, в них недостаточно широко освещены шаблоны.
Lockheed Martin Corporation. “Joint Strike Fighter Air Vehicle Coding Standards for the System Development and Demonstration Program”. Document Number 2RDU00001 Rev C. December 2005. Широко известен в узких кругах под названием “JSF++”. Это набор правил, написанных в компании Lockheed-Martin Aero, для программного обеспечения летательных аппаратов (самолетов). Эти правила были написаны программистами и для программистов, создающих программное обеспечение, от которого зависит жизнь людей (www.research.att.com/~bs/JSF-AV-rules.pdf).
Programming Research. High-integrity C++ Coding Standard Manual Version 2.4. (www.programmingresearch.com).
Sutter, Herb, and Andrei Alexandrescu. C++ Coding Standards: 101 Rules, Guidelines, and Best Practices. Addison-Wesley, 2004. ISBN 0321113586. Этот труд можно скорее отнести к стандартам метапрограммирования; иначе говоря, вместо формулирования конкретных правил авторы пишут, какие правила являются хорошими и почему.
Обратите внимание на то, что знания предметной области, языка и технологии программирования не могут заменить друг друга. В большинстве приложений — и особенно в большинстве встроенных систем программирования — необходимо знать как операционную систему, так и/или архитектуру аппаратного обеспечения. Если вам необходимо выполнить низкоуровневое кодирование на языке С++, то изучите отчет комитета ISO по стандартизации, посвященный проблемам производительности (ISO/IEC TR 18015; www.research.att.com/~bs/performanceTR.pdf); под производительностью авторы (и мы) понимают в основном производительность программирования для встроенных систем.
