<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd">
<html lang="en">
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type">
<title>
GitLab
</title>


<style>img {
max-width: 100%; height: auto;
}
</style>
</head>
<body>
<div class="content">
<div style="">
<ul dir="auto">
<li>
<p>alloca() is used in the guile/src/core.c. The code around there looks very suspicious to me, it might need a review. E.g. it assumes that scm_to_locale_stringbuf() does not alter the byte-length of the input when it does charset transcoding. If that is the case, the output may be truncated and wouldn't work as credentials any more.</p>
</li>
<li>
<p>guarded VLA is ok as far as the limit isn't too high. But it needs manual checks when introducing new code. Just saying, that one is playing with fire when using VLAs. In your example, what are you going to do if n >= 128 ? Fallback to calloc() or throw an error ? I suggest to only use VLAs (if at all) when it comes to performance optimization. There is no urgent need, but in the long term...</p>
</li>
</ul>
</div>


</div>
<div class="footer" style="margin-top: 10px;">
<p style="font-size: small; color: #777777;">
—
<br>
Reply to this email directly or <a href="https://gitlab.com/gnutls/gnutls/issues/684#note_134831843">view it on GitLab</a>.
<br>
You're receiving this email because of your account on gitlab.com.
If you'd like to receive fewer emails, you can
<a href="https://gitlab.com/sent_notifications/11b9a2bb37563e9c5b372b38b1b7a0d4/unsubscribe">unsubscribe</a>
from this thread or
adjust your notification settings.
<script type="application/ld+json">{"@context":"http://schema.org","@type":"EmailMessage","action":{"@type":"ViewAction","name":"View Issue","url":"https://gitlab.com/gnutls/gnutls/issues/684#note_134831843"}}</script>
</p>
</div>
</body>
</html>