微软正从C—C++改用Rust来构建其基础设施软件-免费源码丞旭猿

不管软件公司在工具和培训开发人员上面投入了多少资金，C++就其核心而言不是一种安全的语言， 微软的云开发者代言人Ryan Levick在上个月的AllThingsOpen 虚拟会议上表示，当时他解释了为何微软正逐渐从C/C++改用Rust来构建其基础设施软件。 微软还鼓励其他软件行业巨头考虑采取同样的做法。

他说：我们使用的语言很古老，来自不同的年代，无法为我们提供防范种种漏洞的能力。C++不是一种内存安全的语言，没人会真的假装它是内存安全的语言。

实际上，微软认为C++不再适合编写关键任务软件。业界迫切需要改用一种高性能的、内存安全的语言来完成底层系统工作。Levick表示，而如今市面上的最佳选择就是 Rust。

C/C++无法被修复

如今，C和C++是编写核心系统软件的首选语言。优点是速度快，代码与机器本身之间只隔一层汇编。

但是业界正被这些语言引起的各种内存相关的缺陷（许多缺陷是安全问题）搞得焦头烂额。Levick表示，现在，来自微软的通用漏洞披露（CVE）中70%是内存安全问题。他说：几乎一直是这种情况，并没有减少的趋势。尽管我们付出了巨大的努力来解决这个问题，但这仍似乎司空见惯。

鉴于修复这些没完没了的内存相关错误面临不断上升的成本，从财务角度来看，这（注：继续使用C和C++）不无道理。Levick表示，早在 2004 年，每个内存相关错误让业界花费250000美元，微软估计这个数字可能偏低。

当然，许多公司和开发人员在努力提升C++的安全性，虽然各自在某个方面很有效，但没有一个从整体上解决这个问题。

一种长期被奉行的做法是加强针对程序员的培训，以便编写更安全的代码。但是，没有证据表明，对C和C++开发人员进行全面的培训实际上能卓有成效地解决这个问题，Levick 说，他提到微软本身很注重培训内部开发人员的工作。

静态分析是被提到的另一种可能的解决方案。但是静态分析带来了太大的开销：它需要被连入到构建系统。Levick说：所以存在不使用静态分析的诸多动因。如果静态分析默认情况下不启用，就毫无帮助。

运行时检查也是如此：想知道什么时候使用了运行时检查合约、什么时候没使用，这不可能或至少极其困难，他说，而且它们也会带来操作上的开销。

业界的最大希望

为了应对这个内存相关错误问题，微软安全响应中心发起了安全系统编程语言倡议。该中心做了一些工作，专门用来提升C/C++的安全性。该中心还开发了Verona，这种新的编程语言是为安全低级编程开发的。但是这个项目策略的第三个部分（也是微软最寄予厚望的部分）旨在支持业界最有希望直面处理这个问题。

他说：而我们认为那第三个部分就是Rust。

从性能上看，Rust与C/C++不相上下，甚至可能更快一点。Rust 给开发人员带来了工作效率，拥有软件包管理和现代测试框架等功能。广大程序员因此而喜爱 Rust。

但是微软如此钟情Rust 的主要原因是，它是一种内存安全语言，只有极少的运行时检查。Rust 擅长构建正确的程序。大致说来，正确性是指编译器检查程序有无不安全操作，因而减少了运行时错误。不安全的关键字是个选项，但并不是默认的。不安全的 Rust 代码几乎总是一段更庞大的安全代码的子集。不安全的代码对于内存分配型任务（比如编写设备驱动程序）必不可少。但即使在这种情况下，内存中不安全的部分也在API后面被封装起来。

Levick表示，安全编程的这种能力不应该被轻视。实际上，它可以带来逾10倍的提升，因此值得投入心血。这主要是由于几乎所有的C/C++代码都需要接受安全审计、查找有无不安全行为，而用Rust编写的需要接受检查的不安全代码只是大多数代码库的一小部分。

虽然微软看好Rust，但Levick 承认微软核心开发人员短时间内不会停止使用C/C++。

他说：我们微软有很多的C++代码，这些代码不会被抛弃。实际上，微软在继续用C++编写代码，会继续用它编写一段时间的代码。

许多工具是围绕C/C++构建的。尤其是，微软的二进制代码现在几乎完全是在Microsoft Visual C++编译器（可生成 MSVC二进制代码）上构建的，而 Rust 依赖 LLVM。

不过可能最大的挑战在于文化层面的。Levick承认：总有一些人就希望用他们熟悉的语言来完成工作。

不过，业界似乎正在追捧Rust。AWS使用Rust，除了用于EC2的一些部分外，一方面还用于部署 Lambda Serverless 运行时环境。Facebook 已开始使用 Rust，苹果、谷歌、Dropbox 和 Cloudflare 也已开始使用它。