Provided by: manpages-pl_4.23.1-1_all 
NAZWA
attributes - pojęcia bezpieczeństwa POSIX
OPIS
Uwaga: tekst niniejszej strony podręcznika systemowego powstał w oparciu o materiał z
rozdziału „POSIX Safety Concepts” podręcznika biblioteki GNU C. Więcej szczegółów na temat
poniższych tematów można znaleźć tamże.
Różne strony podręcznika systemowego zawierają rozdział ATRYBUTY opisujący bezpieczeństwa
wywoływania funkcji w różnych sytuacjach. Niniejszy rozdział opisuje funkcje z
następującymi oznaczeniami bezpieczeństwa:
MT-bezpieczne
Funkcje MT-bezpieczne, MT-Safe lub wątkowo-bezpieczne można bezpiecznie wywołać w
obecności innych wątków. Cząstka MT w nazwie oznacza wielowątkowość (ang. Multi
Thread).
Bycie MT-bezpieczną nie oznacza, że funkcja jest niepodzielna, ani że używa jakichś
mechanizmów synchronizacji pamięci, udostępnianych przez POSIX użytkownikom.
Możliwe jest nawet, że wywołania kolejnych funkcji MT-bezpiecznych nie da w efekcie
kombinacji MT-bezpiecznej. Przykładowo, jeśli istnieje wątek wywołujący dwie
funkcje MT-bezpieczne jedna po drugiej, nie gwarantuje to zachowania równoważnego
niepodzielnemu wykonaniu kombinacji obu funkcji, ponieważ współbieżne wywołania w
różnych wątkach mogą ze sobą oddziaływać w destrukcyjny sposób.
Optymalizacje całych programów, które mogą doprowadzić do wyodrębnienia funkcji
jako podprogramu (funkcji otwartej) na przestrzeni interfejsów biblioteki, mogą
doprowadzić do niebezpiecznej zmiany kolejności, dlatego nie zaleca się dokonywania
takiego wyodrębniania na przestrzeni interfejsu biblioteki GNU C. Udokumentowany
status MT-bezpieczny nie jest gwarantowany przy optymalizacji całych programów.
Jednak funkcje zdefiniowane w widocznych dla użytkownika nagłówkach, są
zaprojektowane jako bezpieczne do wyodrębniania.
MT-niebezpieczne
Funkcje MT-niebezpieczne lub MT-Unsafe nie są bezpieczne do wywołania w programach
wielowątkowych.
Inne słowa kluczowe pojawiające się w uwagach nt. bezpieczeństwa zdefiniowano w kolejnych
rozdziałach.
Funkcjonalności warunkowo bezpieczne
Dla niektórych funkcjonalności czyniących funkcje niebezpiecznymi do wywołania w pewnych
sytuacjach, znane są sposoby ominięcia kłopotów z bezpieczeństwem, nie wymagające
całkowitej rezygnacji z ich wywoływania. Poniższe słowa kluczowe odnoszą się do takich
funkcjonalności i każda z definicji wskazuje, jak należy ograniczyć cały program, aby
uniknąć problemu z bezpieczeństwem wskazanych danym słowem kluczowym. Jedynie po
zaobserwowaniu i odniesieniu się do powodów, które czynią funkcję niebezpieczną, za pomocą
nałożenia udokumentowanych ograniczeń, funkcja staje się bezpieczna do wywołania w danym
kontekście.
init Funkcje oznaczone jako init w kontekście problemów bezpieczeństwa wątkowego,
przeprowadzają przy pierwszym wywołaniu inicjalizację, która jest MT-niebezpieczna.
Wywołanie takiej funkcji przynajmniej raz w trybie pojedynczego wątku, usuwa ten
konkretny powód do uznania tej funkcji jako MT-niebezpiecznej. Jeśli nie występują
inne powody, to funkcję można bezpiecznie wywoływać po uruchomieniu innych wątków.
race Funkcje oznaczone jak race w kontekście problemów bezpieczeństwa wątkowego działają
na obiektach w sposób, który może powodować wyścig do danych lub inne formy
destrukcyjnej interferencji przy współbieżnym wykonaniu. W niektórych przypadkach
te obiekty są przekazywane do funkcji przez użytkowników; w innych są one używane
przez funkcje do zwrócenia wartości użytkownikom; w jeszcze innych nie są nawet
ujawniane użytkownikom.
const Funkcje oznaczone jako const w kontekście problemów bezpieczeństwa wątkowego,
modyfikują w sposób nieatomowy obiekty wewnętrzne, które mogą być raczej rozważane
jako stałe, ponieważ znaczna część biblioteki GNU C korzysta z nich bez
synchronizacji. W przeciwieństwie do race, które powoduje uznanie za
MT-niebezpieczną zarówno odczytujących jak i zapisujących obiekty wewnętrzne, to
oznaczenie odnosi się wyłącznie do zapisujących. Zapisujący pozostają
MT-niebezpieczni przy wywołaniu, lecz obowiązkowa później stałość obiektów, które
modyfikują, umożliwia uznanie odczytujących za MT-bezpiecznych (o ile nie pozostają
inne powody do uznania ich za niebezpiecznych), ponieważ brak synchronizacji nie
jest problemem, gdy obiekty są faktycznie stałe.
Identyfikator, który występuje po oznaczeniu const pojawi się jako adnotacja
bezpieczeństwa przy odczytujących. Programy, które chcą przeciwdziałać temu
problemowi bezpieczeństwa, jednak tak aby móc wywołać zapisujących, mogą użyć
nierekurencyjnej blokady odczytu i zapisu powiązanej z identyfikatorem i chronić
wszystkie wywołania do funkcji oznaczonej jako const, po której następuje
identyfikator blokady zapisu oraz wszystkie wywołania do funkcji oznaczonej samym
identyfikatorem za pomocą blokady odczytu.
sig Funkcje oznaczone jako sig w kontekście problemów bezpieczeństwa wątkowego mogą
tymczasowo instalować procedurę obsługi sygnału do celów wewnętrznych, która może
interferować z innymi użyciami sygnału, wymienionymi po dwukropku.
Temu problemowi bezpieczeństwa można przeciwdziałać, upewniając się, że w trakcie
wywołania nie dojdzie do innego użycia sygnału. Zalecane jest: utrzymywanie
nierekurencyjnej blokady mutex (wzajemnego wykluczania) podczas wywoływania
wszystkich funkcji używających tego samego sygnału tymczasowego; blokowanie tego
sygnału przed wywołaniem i późniejsze resetowanie jego procedury obsługi.
term Funkcje oznaczone jako term w kontekście problemów bezpieczeństwa wątkowego mogą
zmieniać ustawienia terminala w zalecany sposób, głównie: wywoływać tcgetattr(3),
modyfikować niektóre znaczniki (flagi) i później wywoływać tcsetattr(3), co otwiera
okno, w którym zmiany wykonane przez inne wątki są tracone. Z tego względu funkcje
oznaczone jako term są MT-niebezpieczne.
Zaleca się dlatego aplikacjom używającym terminala unikać równoczesnej i
wielobieżnej interakcji z terminalem, nie używając mogących się tak zachowywać
procedur obsługi sygnału lub sygnałów blokujących i utrzymywać blokadę przy
ponownym wywoływaniu tych funkcji i interakcji z terminalem. Blokady tej powinno
się używać również do wzajemnego wykluczania w przypadku funkcji oznaczonych jako
race:tcattr(fd), gdzie fd jest deskryptorem pliku kontrolującego terminala.
Wywołujący może użyć następujących blokad wzajemnego wykluczania (mutex):
pojedynczej (dla ułatwienia) albo po jednej na terminal, nawet gdy są one opisane
różnymi deskryptorami pliku.
Dodatkowe uwagi dotyczące bezpieczeństwa
Do funkcji mogą być dołączone dodatkowe słowa kluczowe wskazujące funkcjonalności, które
co prawda nie czynią funkcji niebezpiecznej do wywołania, ale powinny być wzięte pod uwagę
w określonych klasach programów:
locale Funkcje z adnotacją locale w kontekście problemów bezpieczeństwa wątkowego
odczytują z obiektu locale (tłumaczenia) bez jakiejkolwiek formy synchronizacji.
Funkcje z adnotacją locale wywoływane równolegle ze zmianą locale mogą zachowywać
się w sposób nieodnoszący się do żadnych z aktywnych locale podczas ich wykonania,
lecz z nieprzewidywalną ich mieszanką.
Funkcje te nie są jednak oznaczane jako MT-niebezpieczne. To funkcje modyfikujące
obiekt locale są oznaczane uwagą const:locale i są uważane za niebezpieczne. Z tego
powodu, funkcje modyfikujące nie powinny być wywoływane, gdy działa kilka wątków
lub włączone są sygnały asynchroniczne. W tych kontekstach locale mogą być
rozważane jako efektywnie stałe, co czyni omawiane w powyższym akapicie funkcje
bezpiecznymi.
env Funkcje oznaczone jako env w kontekście problemów bezpieczeństwa wątkowego uzyskują
dostęp do środowiska za pomocą getenv(3) lub podobnego, bez żadnej ochrony
zapewniającej bezpieczeństwo w obecności równoległych modyfikacji.
Funkcje te nie są jednak oznaczane jako MT-niebezpieczne. To funkcje modyfikujące
środowisko są oznaczane uwagą const:env i są uważane za niebezpieczne. Z tego
powodu, funkcje modyfikujące nie powinny być wywoływane, gdy działa kilka wątków
lub włączone są sygnały asynchroniczne. W tych kontekstach środowisko może być
rozważane jako efektywnie stałe, co czyni omawiane w powyższym akapicie funkcje
bezpiecznymi.
hostid Funkcje oznaczone jako hostid w kontekście problemów bezpieczeństwa wątkowego
odczytują z systemowych struktur danych identyfikator stacji („host id”). Te
struktury danych zwykle nie mogą być modyfikowane w sposób niepodzielny. Ze względu
na założenie, że identyfikator stacji nie powinien się zmieniać, funkcje
odczytujące go (gethostid(3)) są uważane za bezpieczne, natomiast funkcje go
modyfikujące (sethostid(3)) są oznaczane jako const:hostid wskazując, że ich
wywołanie może wymagać szczególnej uwagi. W tym konkretnym przypadku, szczególna
uwagę należy zwrócić na koordynację na poziomie systemu (a nie jedynie
wewnątrzprocesową).
sigintr
Funkcje oznaczone jako sigintr w kontekście problemów bezpieczeństwa wątkowego
uzyskują dostęp do wewnętrznej struktury danych _sigintr biblioteki GNU C, bez
żadnej ochrony zapewniającej bezpieczeństwo w momencie równoległej modyfikacji.
Funkcje te nie są jednak oznaczane jako MT-niebezpieczne. To funkcje modyfikujące
struktury danych są oznaczane uwagą const:sigintr i są uważane za niebezpieczne. Z
tego powodu, funkcje modyfikujące nie powinny być wywoływane, gdy działa kilka
wątków lub włączone są sygnały asynchroniczne. W tych kontekstach struktury danych
mogą być rozważane jako efektywnie stałe, co czyni omawiane w powyższym akapicie
funkcje bezpiecznymi.
cwd Funkcje oznaczone jako cwd w kontekście problemów bezpieczeństwa wątkowego mogą
tymczasowo zmieniać bieżący katalog roboczy podczas wykonania, co może spowodować
ustalanie ścieżek względnych w sposób nieoczekiwany dla innych wątków lub przy
procedurach obsługi odwoływania lub asynchronicznych sygnałach.
Nie jest to wystarczający powód do oznaczania funkcji z taką adnotacją jako
MT-niebezpiecznej, lecz gdy zachowanie to jest opcjonalne (np. nftw(3) z
FTW_CHDIR), unikanie takiej opcji może być dobrą alternatywą do używania pełnych
ścieżek lub wywołań systemowych odnoszących się do deskryptorów pliku (np.
openat(2)).
:identyfikator
Po adnotacjach może czasem wystąpić identyfikator, który ma pogrupować funkcje,
które np. uzyskują dostęp do struktur danych w niebezpieczny sposób, jak w
przypadku race i const lub udostępniać szczegółowe informacje, takie jak nazwa
sygnału w funkcji oznaczonej jako sig. Przewiduje się, że może to w przyszłości
dotyczyć również lock i corrupt.
W większości przypadku identyfikator wymieni zestaw funkcji, ale czasami może
nazwać obiekty globalne, argumenty funkcji lub powiązane z nimi identyfikowalne
właściwości lub fragmenty logiczne. Stosowania notacja to np. :buf(arg) aby wskazać
bufor powiązany z argumentem arg lub :tcattr(fd) aby wskazać atrybuty terminala
deskryptora pliku fd.
Najczęstszym zastosowanie identyfikatorów jest udostępnienie logicznych grup
funkcji i argumentów, które muszą być chronione przez te same mechanizmy
synchronizacji, aby zapewnić bezpieczne operowanie w danym kontekście.
/warunek
Część uwag bezpieczeństwa może być warunkowa co oznacza, że mają zastosowanie tylko
gdy prawdziwe jest wyrażenie warunkowe dotyczące argumentów, zmiennych globalnych
albo nawet wartości jądra. Na przykład /!ps i /one_per_line wskazują, że
wcześniejsza uwaga ma zastosowanie tylko, gdy argumentem ps jest NULL, albo zmienna
globalna one_per_line jest niezerowa.
Jeśli wszystkie uwagi czyniące funkcję niebezpieczną są opatrzone takimi warunkami
i żaden z wskazanych warunków nie jest spełniony, to funkcja może być uważana za
bezpieczną.
ZOBACZ TAKŻE
pthreads(7), signal-safety(7)
TŁUMACZENIE
Autorami polskiego tłumaczenia niniejszej strony podręcznika są: Michał Kułach
<michal.kulach@gmail.com>
Niniejsze tłumaczenie jest wolną dokumentacją. Bliższe informacje o warunkach licencji
można uzyskać zapoznając się z GNU General Public License w wersji 3
⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ lub nowszej. Nie przyjmuje się ŻADNEJ
ODPOWIEDZIALNOŚCI.
Błędy w tłumaczeniu strony podręcznika prosimy zgłaszać na adres listy dyskusyjnej
⟨manpages-pl-list@lists.sourceforge.net⟩.