Die NASA schreibt mission-critical Flugssoftware in C. Und die Regeln sind absolut WAHNSINNIG. > Keine Rekursion. Niemals. > Jede Schleife muss eine nachweisbare obere Grenze haben. > Keine dynamische Speicherzuweisung nach der Initialisierung. > Maximal ~60 Zeilen pro Funktion. > Mindestens 2 Assertions pro Funktion. > Jeder Rückgabewert muss überprüft werden. > Null Compiler-Warnungen erlaubt. > Tägliche statische Analyse. Auch dort null Warnungen. > Keine Funktionszeiger. > Eingeschränktes Dereferenzieren von Zeigern. So schreiben sie Code bei NASA / JPL für mission-critical Systeme.