<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#fffffe" text="#000000">
    Is it worthwhile improving the current C code to a 'hardened'
    programming standard?� <br>
    <br>
    Example<br>
    - Joint Strike Fighter standards
    <a class="moz-txt-link-freetext" href="https://www.stroustrup.com/JSF-AV-rules.pdf">https://www.stroustrup.com/JSF-AV-rules.pdf</a><br>
    - NASA JPL standards
<a class="moz-txt-link-freetext" href="https://andrewbanks.com/wp-content/uploads/2019/07/JPL_Coding_Standard_C.pdf">https://andrewbanks.com/wp-content/uploads/2019/07/JPL_Coding_Standard_C.pdf</a><br>
    - MISRA
<a class="moz-txt-link-freetext" href="https://misra.org.uk/LinkClick.aspx?fileticket=vfArSqzP1d0%3d&tabid=57">https://misra.org.uk/LinkClick.aspx?fileticket=vfArSqzP1d0%3d&tabid=57</a><br>
    <br>
    What effort would be required for 'hardening'?<br>
    <br>
    If not a full 'hardening', is it worthwhile to use the
    hardening/vulnerability/guideline-fail reporting tools to identify
    and fix the worst vulnerabilities or to grab the low-hanging fruit?
    <br>
    <br>
    Anyone with experience with 'hardening' C code? (I don't)<br>
    <br>
    But first, what's the problem with the ntpsec C code. Is there an
    issue with vulnerabilities in the current C code, uncertainty with
    possible unknown vulnerabilities in the current code, or is the
    concern one of introducing vulnerabilities in the future as the C
    code is maintained or new functionality added? Or is the answer to
    that "yes". Is 'hardening' a solution or just an improvement? I
    assume you're still vulnerable where the hardening guidelines failed
    or weren't ideally followed? Is moving to a new language the better
    solution? <br>
    <br>
    If moving to another language is inevitable, if that move is
    selected as a goal for the next year, is 'hardening' the ntpsec C
    code still worthwhile? <br>
    - Could 'hardening' be done and in place before the move to another
    language is complete. For what benefit. <br>
    - Or would the 'hardened' C code be replaced weeks later by code in
    a new language. Or would new language code be in place in the same
    or similar time (sooner?), if 'hardening' efforts were instead put
    on moving.<br>
    - If a full 'hardening' isn't worthwhile, is some 'hardening' effort
    worthwhile.<br>
    <br>
    Regards,<br>
    <br>
    Michael<br>
    <br>
  </body>
</html>