在不久前 TIOBE 发布的 10 月编程语言排行榜上，C++ 一举越过 Java，摘得探花位，仅次于 Python 和 C。年过四旬的 C++ 依然是全球最流行的编程语言之一，不过近年来一些巨头的动向也让 C++ 的安全性频频走向争议的中心。

前有微软透露正基于 Rust 语言改写 Windows 11 内核，部分替代之前的 C++，后有谷歌声称正在将 Android 原生代码从 C++ 迁移到 Rust，从而进一步减少安全漏洞。

就在外界纷纷揣测 C++ 如何应对突如其来的中年危机，是否真的应该让位于后起之秀时，近日 C++ 之父 Bjarne Stroustrup 在上个月举办的编程语言年度大会上公开表态：他将增加新的安全工具应对批评，为全球数十亿行 C++ 代码带来新的解决方案。

对于那些认为问题出在 C++ 本身、解决方案是改用另一种语言的批评人士，这位已经 72 岁的大佬予以了驳斥。

第一，安全性指的不仅仅是内存安全。

第二，语言之间的互操作性需求往往会被忽视。

第三，语言切换的成本通常会被低估。

Stroustrup 首先指出“通常提到的安全性只是内存安全——这是不够的......与其他语言（包括 C++ 和 C）进行互操作的需求往往不会被提及。而且转换的成本可能非常高。这一点很少被提及......”

“从我所看到的观点来看，我们将用大约 7 种不同的语言来取代 C++。也许在距今四十年后，我们可能会有 20 种不同的语言，它们必须相互操作。这将会很困难。”

Stroustrup 还指出，“许多所谓的‘安全’语言将所有底层的东西都外包给了 C 或 C++”，暂时脱离原始语言来访问硬件资源，甚至操作系统 (通常是用 C 编写的)——甚至可能是极为古老的、藏在外部库中的“可信代码”……

Stroustrup 把我们目前的情况称为“一种渐进式和进化式的方法，而不是一味追求全新的方法。”就像盖尔定律:“一个有效的复杂系统势必是从一个有效的简单系统发展而来的。”

归根结底，就像 Stroustrup 所指出的，切换语言可能看起来是在构建一个新系统，但是想越过所有旧系统的问题来解决一切，只是一个幻想。切换语言所要付出的代价可能远比你理想中的要高。

Stroustrup 提到了安全性的许多概念，重点介绍了资源泄漏、溢出、内存损坏、计时错误、并发错误、终止错误——当然还有类型错误。随后，他就 C++ 安全性的发展趋向进行了详细阐释。

Stroustrup 称当前是“一个机会”，他强调，类型和资源安全从 C++ 诞生之初就一直是它的目标。“我们当时的硬件无法提供完全的安全性，现在也无法对所有语言和所有用例提供完全的安全性。”但是 Stroustrup 也不希望看到对 C++ 表达的限制，事实上他设想了一个仍然遵循该语言的 ISO 标准的解决方案。

“我们需要它是 C++。也就是说，我们能做什么不应该受到限制，即使我们如何做可能会受到限制。”

与此同时，Stroustrup 也不希望看到大量的额外运行时开销。“性能不应该有任何下降......实际上，编写安全代码的一些技术可以提高性能。我主要谈论的是编译器和静态检查可以做什么，因为它是免费的，或者实际上可以提高性能。”

Stroustrup 找到了他的解决方案：配置文件。也就是说，一套规则，只要遵守，就能实现特定的安全保证。它们将由 ISO C++ 标准定义，解决常见的安全问题，如指针和数组范围。

至于添加新工具的困难，Stroustrup 指出，C++ 编译器本身现在是一个相当复杂的静态分析器，也可以满足配置文件的要求。因此，在添加提高安全性的工具时，“我认为配置文件注释应该有助于解决这个问题”。

Stroustrup 列出了一般策略：使用静态分析来消除潜在的错误。但 Stroustrup 补充说：“全局静态分析是负担不起的。”

“所以基本上我们需要规则来简化我们正在编写的内容，使其能够高效、低成本地分析——本地静态分析……然后提供库，使依赖这些规则变得可行。”

另外，他还指出了这种策略的另一个优势：“支持从旧代码到提供担保的现代代码的逐步转换。”将有一套标准的“基本”担保，以及更大、更开放的可用担保。Stroustrup 说:“我想象的是类型和资源安全，内存安全，范围安全。诸如算术安全之类的东西是可以标准化的。”此外，还将制定规则，对不同的代码片段应用不同的保证。代码甚至可以得到应用了哪些保证的显式表达式 (从而使将来的读者放心)。

Stroustrup 简要说明了一点：“小心”是行不通的。因此，虽然核心指导方针可能建议安全的编码实践，但“我们需要强制执行的规则”。

“我们必须制定安全使用的规则。我们必须提供方法来验证人们是否真的在做他们想做的事情。”Stroustrup 指出，他所描述的大部分内容已经被尝试过，甚至有规模化的实践。“但这些都没有被整合成一个一致的、连贯的整体。这就是我认为我们应该做的。”

“卫生规则 + 静态分析 + 运行时检查”就是被提炼出的公式。Stroustrup 说 C++ 可以消除许多常见的错误，包括未初始化的变量，范围错误，空指针解引用，资源泄漏和悬空引用。

在演讲接近尾声时，Stroustrup 谈到了更多的细节。“我建议你采用基于模块的控件。”

还在开发中的是代码内控件，用于代码片段。

目前这项工作还在进行中，你可以查到与之相关的论文和讨论。Stroustrup 谈到：“从经典的 C，从‘带类的 C’，到 C++11，我们已经走了很长很长的路。”

面向开发者，Stroustrup 建议用户可以帮助完善配置文件并将其规范形式化。“我梦想着像 Profiles Light 这样的东西，它提供了配置文件的大部分保证，但不能做所有最后的事情，因为，比如说，静态分析器还不能做到这一点。”

Stroustrup 创建了一个 GitHub 存储库，“人们可以在那里提出建议，我将把我的草稿等放在那里，这样我们就可以创建一个社区，致力于在合理的时间内完成这些事情。

存储库询问需要什么才能使配置文件成为“满足各种 C++ 安全需求的全行业工具”，并将该概念称为框架。“为了实现广泛使用，必须创建和安装许多部件。虽然我们已经做了很多工作，但广泛可用的相对较少。这是一个愿望清单。请尽你所能提供帮助。”

参考链接：

https://thenewstack.io/bjarne-stroustrups-plan-for-bringing-safety-to-c/