美國國家航空航天局（NASA）開發人員的工作是編程界最具挑戰性的工作之一。 他們編寫代碼并開發關鍵任務應用程序，安全是他們主要關注的重點。

在這種情況下，制定嚴謹的編碼準則并遵循，對于他們來說十分重要。這些規則涵蓋了軟件開發的各個方面，如應該如何編寫軟件，應該使用哪些語言特性等等。

盡管很難就一個編碼標準達成共識，NASA 的 JPL 首席科學家 Gerard J. Holzmann 還是制定了一套名為“發展安全關鍵代碼的十大規則”的代碼準則，由所有工作人員共同遵循。

由于 JPL 的工作內容與 C 語言相關，因此本指南主要關注用 C 編程語言編寫的代碼。但也可以靈活運用到其他語言上。

NASA 的十大編碼準則：

1、簡化控制流程：使用盡可能精簡的控制流程構造編寫程序 – 不要使用 setjmp 或 longjmp 構造、goto 語句，以及直接或間接的遞歸調用。

2、為循環使用固定次數上限：所有的循環必須有一個固定的上限。 必須可以被某個檢測工具靜態證實，該循環不能達到預置的迭代上限值。如果該上限值不能被靜態證實，那么可以認為違背該原則。

3、不要在初始化完成后進行動態內存分配。

4、不使用冗長的函數：如果標準格式為一個語句一行、一個聲明一行，那么函數的長度應在一張紙的范圍內，即每個函數的代碼行不能超過 60。

5、低斷言密度：代碼中斷言的密度平均低至每個函數 2 個斷言。斷言被用于檢測在實際執行中的異常情況。斷言必須沒有副作用，并應該定義為布爾測試。當一個斷言失敗時，應該執行一個明確的恢復操作，例如，把錯誤情況返回給執行該斷言失敗的函數調用者。對于靜態工具來說，任何能被靜態工具證實其永遠不會失敗或永遠不能觸發的斷言違反了該規則（例如，通過增加無用的 assert(true) 語句是不可能滿足這個規則的）。

6、以最小范圍級別聲明數據對象：該原則同時也是數據隱蔽（Data hiding）的基本原則。所有數據對象均必須以盡可能最小的范圍級別進行聲明。

7、檢查參數和返回值：應在每次調用函數后檢查非空函數的返回值，并在每個函數內部檢查參數的有效性。

8、限制預處理程序的使用：預處理器的使用僅受包含頭文件和簡單的宏定義的限制。符號拼接、可變參數列表（省略號）和遞歸宏調用不被允許。所有的宏必須擴展為完整的語法單元。通常不建議使用條件編譯指令，但也不總是能夠避免每次在代碼中這樣做的時候必須有基于工具的檢查器進行標記，并有充足的理由。

9、限制指針的使用：具體來說，不允許有超過一級的解除指針引用。解除指針引用操作不可隱藏在宏定義或類型聲明中。不允許使用函數指針。

10、編譯所有代碼：從開發工作第一天開始時，在編譯器開啟最高級別警告選項的條件下對代碼進行編譯。在此設置之下，代碼必須零警告編譯通過。代碼必須通過源代碼靜態分析工具，每天檢查一次以上，且零警告通過。

關于這些準則，NASA 這樣評價到：

這些準則就像要求你坐車的時候必須系上安全帶一樣，剛開始可能會讓你覺得不舒服，但之后你就會慢慢習慣，并開始無法接受沒有它的日子。

?