23、安全关键型 Java：任务方法解析

安全关键型 Java：任务方法解析

1. 引言

在所有编程领域中，程序正确性都是我们所期望的，而在安全关键型应用中，这一点尤为重要。在桌面或服务器系统中，编程错误可能只是令人烦恼，甚至会造成一定的成本损失；但在安全关键型系统里，一个错误就可能导致严重的人员伤亡。因此，安全关键型开发人员采用了更为严格的开发流程，以确保程序的正确性。安全关键型 Java（SCJ）及其任务概念正是基于这一流程而开发的。

曾经，Ada 是安全关键型编程的首选语言，但如今其受欢迎程度逐渐下降。Java 具备许多 Ada 的优势，例如语法和语义定义明确、内置多线程功能，并且其对象模型比 Ada 95 和 C++ 更为简单。此外，Java 还避免了一些流行替代语言中已知的漏洞，比如 C 和 C++ 语言中的行式宏预处理器和指针操作。

然而，Java 本质上是一种基于堆的语言，设计用于动态内存分配和垃圾回收。像 DO - 178b 这样的标准更适用于动态性较低的环境，这使得传统 Java 程序的安全认证变得极为困难。如今，安全关键型领域的从业者通常建议在安全关键型程序中避免所有动态堆内存管理。SCJ 的设计目标之一就是让 Java 在无需跟踪垃圾回收的情况下也能使用。

SCJ 源自 Java 实时规范（RTSJ），借鉴了其执行模型和作用域内存的使用方式。不过，SCJ 规范对这些特性的使用进行了限制。SCJ 规范中的任务概念为这些限制提供了结构。在安全关键型 Java 应用中，所有执行（通常以异步事件处理程序的形式）都与特定任务相关联；事件处理程序在任务初始化期间启动，并在任务终止前停止。此外，每个任务都有一个相关的内存作用域，即任务内存。只有在任务内存作用域内分配的对象才能在多个线程之间共享