NASA schrijft mission-critical vluchtsoftware in C. En de regels zijn absoluut INSANE. > Geen recursie. Nooit. > Elke lus moet een bewijsbare bovengrens hebben. > Geen dynamische geheugenallocatie na initialisatie. > Max ~60 regels per functie. > Minimaal 2 assertions per functie. > Elke returnwaarde moet worden gecontroleerd. > Geen compilerwaarschuwingen toegestaan. > Dagelijkse statische analyse. Ook daar geen waarschuwingen. > Geen functie-pointers. > Beperkte pointer dereferentie. Dit is hoe ze code schrijven bij NASA / JPL voor mission-critical systemen.