Rust 語言因其并發(fā)安全性而深受眾多開發(fā)者的喜愛，曾在多個榜單上獲評最受歡迎編程語言。然而，現(xiàn)在有人花費大量時間編寫 10 萬行 Rust 代碼之后，撰寫博客闡明 Rust 語言的一系列缺點，以下是博客的主要內(nèi)容。

我深入研究 Rust 是為了改進由 Xobs 編寫的 Xous 操作系統(tǒng)。Xous 是一個用純 Rust 編寫的微內(nèi)核消息傳遞操作系統(tǒng)，是為了輕量級 (IoT / 嵌入式規(guī)模) 的安全優(yōu)先平臺（例如 Precursor）而編寫的，用于 MMU 的硬件強制型頁面級內(nèi)存保護。

一年來，我們?yōu)?Xous 操作系統(tǒng)添加了許多功能，包括網(wǎng)絡(luò) (TCP/UDP/DNS)、用于模態(tài)和多語言文本的中間件圖形抽象、存儲（以加密的形式）、PDDB、可信啟動（trusted boot）以及密鑰管理庫等。

我們決定編寫自己的操作系統(tǒng)而不是使用 SeL4、Tock、QNX 或 Linux 等現(xiàn)有實現(xiàn)，是因為我們想真正了設(shè)備中每一行代碼都在做什么。特別是對于 Linux，它的源代碼庫非常龐大且動態(tài)，即使開源，也不可能搞清其內(nèi)核中的每一行代碼。因此，Xous 僅支持我們的平臺，以盡可能避免內(nèi)核不必要的復(fù)雜性。

這樣減少應(yīng)用范圍還意味著我們還可以充分利用 CPU 在 FPGA 中運行的優(yōu)勢 。因此，Xous 以一種不尋常的 RV32-IMAC 配置為目標(biāo)：具有 MMU + AES 擴展的配置。

FPGA 意味著我們有能力在硬件級別上修復(fù) API 錯誤，從而使內(nèi)核更加精簡。這對于從 RAM 中處理諸如掛起和恢復(fù)之類的抽象破壞（abstraction-busting）進程尤其重要。

我們創(chuàng)建 Xous 時研究了大量的系統(tǒng)編程語言，最終 Rust 脫穎而出。當(dāng)時它剛剛開始支持 `no-std`，它的特點是強類型、內(nèi)存安全，具有良好的工具和新型生態(tài)系統(tǒng)。我個人是強類型語言的忠實擁護者，而內(nèi)存安全性不僅有利于系統(tǒng)編程，還能使優(yōu)化器更好地生成代碼，并且 Rust 適用于并發(fā)。

實際上，我希望 Precursor 有一個支持標(biāo)記指針和內(nèi)存功能的 CPU，類似于 CHERI。于是我們和 CHERI 研發(fā)團隊進行了一些討論，但顯然他們非常專注于 C 語言，也沒有足夠的帶寬來支持 Rust。總體而言，C 比 Rust 需要 CHERI 多得多，他們的選擇是符合資源優(yōu)先原則的。我們不使用 C 語言，但出于安全性考慮，我希望有一天 Rust 中會存在硬件強制型胖指針（fat pointer）。

然而，Rust 語言絕不是完美的，甚至給我們的開發(fā)帶來了很多問題。下面我列舉一下 Rust 的缺點。

語法混亂復(fù)雜

我發(fā)現(xiàn) Rust 語法密集、繁重且難以閱讀，例如：

Trying::to_read::<&'a heavy>(syntax, |like| { this. can_be( maddening ) }).map(|_| ())?;

簡單來說，上面的代碼類似于在對象（實際上是 `struct`）上調(diào)用一個名為「to_read」的方法。

還有一種不遵循 Rust 語法規(guī)則的宏和指令也能運行：

#[cfg(all(not(baremetal), any(feature = “hazmat”, feature = “debug_print”)))]

上面的語句中最令我困惑的是使用‘=’來表示等價而不是賦值，因為配置指令中的內(nèi)容不是 Rust 代碼，它就像一個完全獨立的元語言。

再比如，Rust 宏的可讀性也存在問題——即使是我自己編寫的一些 Rust 宏也「只是勉強工作」。

一種可靠的語言不應(yīng)該存在這些語法問題。

Rust 的確很強大，它的標(biāo)準(zhǔn)庫中包含 HashMaps、Vecs 和 Threads 等數(shù)據(jù)結(jié)構(gòu)，豐富且可用性高。然而，Rust 的「std」庫并沒有為我們構(gòu)建可審計的代碼庫帶來任何好處。

?Rust 不夠完善

我們編寫 Xous 的代碼時，引入了一個叫作「const generic」的新類型。在此之前，Rust 沒有原生能力來處理多于 32 個元素的數(shù)組，這個限制令人抓狂。

在編寫 Xous 的過程中，Rust 的內(nèi)聯(lián)匯編、工作空間等功能逐漸成熟，這意味著我們需要重新審視已經(jīng)寫好的代碼，以使關(guān)鍵的初始啟動代碼集成進我們構(gòu)建的系統(tǒng)。

Xous 開發(fā)的第一年都是使用’no-std’完成的，代價是占用大量內(nèi)存空間且復(fù)雜性高。盡管可以編寫一個只有預(yù)先分配的、靜態(tài)大小的數(shù)據(jù)結(jié)構(gòu)的操作系統(tǒng)，但為了適應(yīng)最壞情況下的元素數(shù)量，因此我們不得不推出一些自己的數(shù)據(jù)結(jié)構(gòu)。

大約一年前，Xobs 將 Rust 的 `std` 庫移植到 Xous，這意味著我們可以在穩(wěn)定的 Rust 中訪問堆，現(xiàn)在 Xous 與特定版本的 Rust 綁定。

`std` 庫從根本上將內(nèi)存分配、線程創(chuàng)建等「不安全」的硬件結(jié)構(gòu)轉(zhuǎn)變成了「安全」的 Rust 結(jié)構(gòu)。

然而，我必須不斷提醒自己，擁有 `std` 庫并不能消除關(guān)鍵代碼中的安全漏洞風(fēng)險——它只是將許多關(guān)鍵代碼移動到標(biāo)準(zhǔn)庫中。

Rust 有固定的更新周期，這意味著我們也必須定期更新 Xous ，以保持與語言的兼容性。

但這可能是不可持續(xù)的。最終，我們需要鎖定代碼庫，但我沒有明確的退出策略。也許我們可以考慮仍然使用 `no-std` 以獲得穩(wěn)定的 `alloc` 功能來訪問堆。但這樣我們就還需要使用 Vec、HashMap、Thread 和 Arc/Mutex/Rc/RefCell/Box 構(gòu)造等，以使 Xous 能夠被有效編碼。

Rust 在供應(yīng)鏈安全方面堪憂

在 rustup.rs 安裝文件中有如下代碼：

`curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh`

用戶可以下載腳本并在運行之前對其進行檢查，這似乎比 vscode 的 Windows .MSI 安裝程序好得多。但是，這種做法遍及整個構(gòu)建生態(tài)系統(tǒng)，讓我對通過 crates.io 生態(tài)系統(tǒng)發(fā)起的軟件供應(yīng)鏈攻擊的可能性感到不安。

Crates.io 也存在一種拼寫錯誤，很難確定哪些 crate 是好或壞；一些完全按照用戶想要的名稱命名的 crate 放棄提供所需功能，而積極維護的 crate 必須采用不太直觀的名稱。當(dāng)然，這不是 Rust 獨有的問題。

還有一個事實是，依賴項是鏈?zhǔn)降?。也就是說當(dāng)你從 crates.io 拉入一個東西時，你也會拉入該 crate 的所有從屬依賴項，以及它們所有的 build.rs (http://build.rs/) 腳本，這些最終都將在你的機器上運行。因此，僅審核 Cargo.toml 文件中明確指定的 crate 是不夠的——您還必須審核所有相關(guān) crate 是否存在潛在的供應(yīng)鏈攻擊。

幸運的是，Rust 確實允許您使用 Cargo.lock 文件將 crate 固定在特定版本，并且可以完全指定依賴 crate 。我們試圖在 Xous 中通過發(fā)布 Cargo.lock 文件并將我們所有的一階相關(guān) crate 指定為次要修訂的策略來緩解這個問題。

然而，我們的大部分調(diào)試和測試框架都依賴于一些相當(dāng)花哨和復(fù)雜的 crate，這些 crate 引入了大量的依賴項，即使我嘗試為我們的目標(biāo)硬件運行構(gòu)建，在主機上運行的依賴 crate 和 build.rs 腳本還是被構(gòu)建。

針對這個問題，我編寫了一個名為「crate-scraper」的小工具，它為我們的 Cargo.toml 文件中指定的每個源下載源包，并且將它們存儲在本地，這樣我們就可以獲得用于構(gòu)建 Xous 版本的代碼快照。

它還運行一個快速的「分析」程序——搜索名為 build.rs 的文件并將它們整理到一個文件中，這樣我就可以更快地通過 grep 查找明顯的問題。當(dāng)然，手動審查并不是檢測嵌入在 build.rs (http://build.rs/) 文件中巧妙偽裝的惡意軟件的實用方法，但它至少讓我了解了我們正在處理的攻擊面的規(guī)模。令人驚訝的是，我們審查出來自各種第三方的大約 5700 行代碼，用于操作文件、目錄和環(huán)境變量，并在我的計算機上運行其他程序。

我不確定這個問題是否有更好的解決方案，但是，如果你的目標(biāo)是構(gòu)建可信賴的固件，請警惕 Rust 廣泛的軟件供應(yīng)鏈攻擊面。

無法復(fù)現(xiàn)別人的 Rust 構(gòu)建

我對 Rust 的最后一點看法是，一臺計算機上的構(gòu)建無法在另一臺上復(fù)現(xiàn)。我認(rèn)為這主要是因為 Rust 將源代碼的完整路徑作為內(nèi)置到二進制文件中調(diào)試字符串的一部分。這導(dǎo)致了一些糟糕的情況，例如我們在 Windows 上構(gòu)建的工作成功了，但在 Linux 下卻失敗了，因為二者的路徑名非常不同，這會導(dǎo)致一些內(nèi)存對象在目標(biāo)內(nèi)存中被轉(zhuǎn)移。

公平地講，這些失敗是由于 Xous 中存在錯誤，這些錯誤已經(jīng)得到修復(fù)。但是，最終仍會有用戶向我們報告我們無法復(fù)現(xiàn)，因為他們在構(gòu)建系統(tǒng)上的路徑與我們的不同。

最后，我想說盡管這里列出了所有的怨言，但如果能重來，Rust 仍然是我們用于構(gòu)建 Xous 所用語言的有力競爭者。我用 C、Python 和 Java 完成了很多大型項目，所有這些項目最終都背負(fù)著「不斷增加的技術(shù)債務(wù)」，而 Rust 可以規(guī)避這些問題。