Как я могу гарантировать типобезопасность аргументов с переменным числом аргументов?

где ... должны быть парами ключ-значение const char*

Тогда вам вообще не нужны вариативные аргументы. Если вы заранее знаете, какие типы вы ожидаете, то они вам не нужны, и вы просто усложняете задачу.

Просто передайте массив.

void Log(const char *what, const char **args, size_t size);

C не имеет возможности обеспечить безопасность типов для произвольных аргументов с переменным числом аргументов. GCC и Clang имеют __attribute__ для некоторых фиксированных случаев (когда вариационная функция ожидает, что последним аргументом будет NULL, вы можете использовать __sentinel__; или когда это строка формата, вы можете использовать format), но универсального решения не существует.

С другой стороны, в С++ 11 есть вариативные шаблоны для решения этой проблемы, но, поскольку вы упомянули, что работаете на C, это не сработает для вас.

Хорошо, я нашел обходной путь:

#define ASSERT_LIST_TYPE(t, l...) do{t _t[] = {l};}while(0)

void _Log(char* what, ...);

#define Log(what, args...) do{\
  ASSERT_LIST_TYPE(char*, args);\
 _Log(what, args);\
}while(0)

Это, по крайней мере, генерирует предупреждение, если аргументы имеют неправильный тип, потому что инициализация фиктивного массива имеет неправильный тип.

Я планирую #ifdef вывести ASSERT_LIST_TYPE, если это не отладочная сборка, на всякий случай.

** Редактировать **

Основываясь на отзывах здесь, я изменил код, чтобы он выглядел так:

void _Log(char* what, const char** args, size_t args_len);

#define Log(what, args...) do{\
  const char* a[] = {args};\
  _Log(what, a, (sizeof a)/sizeof(char*));
}while(0)

Кажется, это работает, даже если args пуст, и он ловит кого-то, передающего литеральную строку obj-c вместо (@"..." вместо "..."), что и укусило меня раньше.