存在一種完美的程式語言嗎?
Rust 語言因其併發安全性而深受眾多開發者的喜愛,曾在多個榜單上獲評最受歡迎程式語言。然而,現在有人花費大量時間編寫 10 萬行 Rust 程式碼之後,撰寫部落格闡明 Rust 語言的一系列缺點,以下是部落格的主要內容。
我深入研究 Rust 是為了改進由 Xobs 編寫的 Xous 作業系統。Xous 是一個用純 Rust 編寫的微核心訊息傳遞作業系統,是為了輕量級 (IoT / 嵌入式規模) 的安全優先平臺(例如 Precursor)而編寫的,用於 MMU 的硬體強制型頁面級記憶體保護。
一年來,我們為 Xous 作業系統添加了許多功能,包括網路 (TCP/UDP/DNS)、用於模態和多語言文字的中介軟體圖形抽象、儲存(以加密的形式)、PDDB、可信啟動(trusted boot)以及金鑰管理庫等。
我們決定編寫自己的作業系統而不是使用 SeL4、Tock、QNX 或 Linux 等現有實現,是因為我們想真正了設備中每一行程式碼都在做什麼。特別是對於 Linux,它的源程式碼庫非常龐大且動態,即使開源,也不可能搞清其核心中的每一行程式碼。因此,Xous 僅支持我們的平臺,以儘可能避免核心不必要的複雜性。
這樣減少應用範圍還意味著我們還可以充分利用 CPU 在 FPGA 中運行的優勢 。因此,Xous 以一種不尋常的 RV32-IMAC 配置為目標:具有 MMU + AES 擴展的配置。
FPGA 意味著我們有能力在硬體級別上修復 API 錯誤,從而使核心更加精簡。這對於從 RAM 中處理諸如掛起和恢復之類的抽象破壞(abstraction-busting)進程尤其重要。
我們創建 Xous 時研究了大量的系統程式語言,最終 Rust 脫穎而出。當時它剛剛開始支持 `no-std`,它的特點是強類型、記憶體安全,具有良好的工具和新型生態系統。我個人是強類型語言的忠實擁護者,而記憶體安全性不僅有利於系統程式設計,還能使最佳化器更好地生成程式碼,並且 Rust 適用於併發。
實際上,我希望 Precursor 有一個支持標記指針和記憶體功能的 CPU,類似於 CHERI。於是我們和 CHERI 研發團隊進行了一些討論,但顯然他們非常專注於 C 語言,也沒有足夠的頻寬來支持 Rust。總體而言,C 比 Rust 需要 CHERI 多得多,他們的選擇是符合資源優先原則的。我們不使用 C 語言,但出於安全性考慮,我希望有一天 Rust 中會存在硬體強制型胖指針(fat pointer)。
然而,Rust 語言絕不是完美的,甚至給我們的開發帶來了很多問題。下面我列舉一下 Rust 的缺點。
語法混亂複雜
我發現 Rust 語法密集、繁重且難以閱讀,例如:
Trying::to_read::(syntax, |like| { this. can_be( maddening ) }).map(|_| ())?;簡單來說,上面的程式碼類似於在對象(實際上是 `struct`)上調用一個名為「to_read」的方法。
還有一種不遵循 Rust 語法規則的宏和指令也能運行:
#[cfg(all(not(baremetal), any(feature = 「hazmat」, feature = 「debug_print」)))]上面的語句中最令我困惑的是使用‘=’來表示等價而不是賦值,因為配置指令中的內容不是 Rust 程式碼,它就像一個完全獨立的元語言。
再比如,Rust 宏的可讀性也存在問題——即使是我自己編寫的一些 Rust 宏也「只是勉強工作」。
一種可靠的語言不應該存在這些語法問題。
Rust 的確很強大,它的標準庫中包含 HashMaps、Vecs 和 Threads 等資料結構,豐富且可用性高。然而,Rust 的「std」庫並沒有為我們構建可審計的程式碼庫帶來任何好處。
Rust 不夠完善
我們編寫 Xous 的程式碼時,引入了一個叫作「const generic」的新類型。在此之前,Rust 沒有原生能力來處理多於 32 個元素的陣列,這個限制令人抓狂。
在編寫 Xous 的過程中,Rust 的內聯彙編、工作空間等功能逐漸成熟,這意味著我們需要重新審視已經寫好的程式碼,以使關鍵的初始啟動程式碼集成進我們構建的系統。
Xous 開發的第一年都是使用’no-std’完成的,代價是佔用大量記憶體空間且複雜性高。儘管可以編寫一個只有預先分配的、靜態大小的資料結構的作業系統,但為了適應最壞情況下的元素數量,因此我們不得不推出一些自己的資料結構。
大約一年前,Xobs 將 Rust 的 `std` 庫移植到 Xous,這意味著我們可以在穩定的 Rust 中訪問堆,現在 Xous 與特定版本的 Rust 綁定。
`std` 庫從根本上將記憶體分配、執行緒創建等「不安全」的硬體結構轉變成了「安全」的 Rust 結構。
然而,我必須不斷提醒自己,擁有 `std` 庫並不能消除關鍵程式碼中的安全漏洞風險——它只是將許多關鍵程式碼移動到標準庫中。
Rust 有固定的更新週期,這意味著我們也必須定期更新 Xous ,以保持與語言的兼容性。
但這可能是不可持續的。最終,我們需要鎖定程式碼庫,但我沒有明確的退出策略。也許我們可以考慮仍然使用 `no-std` 以獲得穩定的 `alloc` 功能來訪問堆。但這樣我們就還需要使用 Vec、HashMap、Thread 和 Arc/Mutex/Rc/RefCell/Box 構造等,以使 Xous 能夠被有效編碼。
Rust 在供應鏈安全方面堪憂
在 rustup.rs 安裝檔案中有如下程式碼:
`curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh`使用者可以下載腳本並在運行之前對其進行檢查,這似乎比 vscode 的 Windows .MSI 安裝程序好得多。但是,這種做法遍及整個構建生態系統,讓我對通過 crates.io 生態系統發起的軟體供應鏈攻擊的可能性感到不安。
Crates.io 也存在一種拼寫錯誤,很難確定哪些 crate 是好或壞;一些完全按照使用者想要的名稱命名的 crate 放棄提供所需功能,而積極維護的 crate 必須採用不太直觀的名稱。當然,這不是 Rust 獨有的問題。
還有一個事實是,依賴項是鏈式的。也就是說當你從 crates.io 拉入一個東西時,你也會拉入該 crate 的所有從屬依賴項,以及它們所有的 build.rs (http://build.rs/) 腳本,這些最終都將在你的機器上運行。因此,僅審核 Cargo.toml 檔案中明確指定的 crate 是不夠的——您還必須審核所有相關 crate 是否存在潛在的供應鏈攻擊。
幸運的是,Rust 確實允許您使用 Cargo.lock 檔案將 crate 固定在特定版本,並且可以完全指定依賴 crate 。我們試圖在 Xous 中通過發佈 Cargo.lock 檔案並將我們所有的一階相關 crate 指定為次要修訂的策略來緩解這個問題。
然而,我們的大部分調試和測試框架都依賴於一些相當花哨和複雜的 crate,這些 crate 引入了大量的依賴項,即使我嘗試為我們的目標硬體運行構建,在主機上運行的依賴 crate 和 build.rs 腳本還是被構建。
針對這個問題,我編寫了一個名為「crate-scraper」的小工具,它為我們的 Cargo.toml 檔案中指定的每個源下載源包,並且將它們儲存在本地,這樣我們就可以獲得用於構建 Xous 版本的程式碼快照。
它還運行一個快速的「分析」程序——搜尋名為 build.rs 的檔案並將它們整理到一個檔案中,這樣我就可以更快地通過 grep 查找明顯的問題。當然,手動審查並不是檢測嵌入在 build.rs (http://build.rs/) 檔案中巧妙偽裝的惡意軟體的實用方法,但它至少讓我了解了我們正在處理的攻擊面的規模。令人驚訝的是,我們審查出來自各種第三方的大約 5700 行程式碼,用於操作檔案、目錄和環境變數,並在我的計算機上運行其他程序。
我不確定這個問題是否有更好的解決方案,但是,如果你的目標是構建可信賴的韌體,請警惕 Rust 廣泛的軟體供應鏈攻擊面。
無法復現別人的 Rust 構建
我對 Rust 的最後一點看法是,一臺計算機上的構建無法在另一臺上覆現。
我認為這主要是因為 Rust 將源程式碼的完整路徑作為內建到二進位制檔案中調試字串的一部分。這導致了一些糟糕的情況,例如我們在 Windows 上構建的工作成功了,但在 Linux 下卻失敗了,因為二者的路徑名非常不同,這會導致一些記憶體對象在目標記憶體中被轉移。
公平地講,這些失敗是由於 Xous 中存在錯誤,這些錯誤已經得到修復。但是,最終仍會有使用者向我們報告我們無法復現,因為他們在構建系統上的路徑與我們的不同。
最後,我想說盡管這裡列出了所有的怨言,但如果能重來,Rust 仍然是我們用於構建 Xous 所用語言的有力競爭者。我用 C、Python 和 Java 完成了很多大型項目,所有這些項目最終都揹負著「不斷增加的技術債務」,而 Rust 可以規避這些問題。
選自bunniestudios
機器之心編譯
機器之心編輯部
