在不久前 TIOBE 发布的 10 月编程语言排行榜上,C++ 一举越过 Java,摘得探花位,仅次于 Python 和 C。年过四旬的 C++ 依然是全球最流行的编程语言之一,不过近年来一些巨头的动向也让 C++ 的安全性频频走向争议的中心。
前有微软透露正基于 Rust 语言改写 Windows 11 内核,部分替代之前的 C++,后有谷歌声称正在将 Android 原生代码从 C++ 迁移到 Rust,从而进一步减少安全漏洞。
就在外界纷纷揣测 C++ 如何应对突如其来的中年危机,是否真的应该让位于后起之秀时,近日 C++ 之父 Bjarne Stroustrup 在上个月举办的编程语言年度大会上公开表态:他将增加新的安全工具应对批评,为全球数十亿行 C++ 代码带来新的解决方案。
对于那些认为问题出在 C++ 本身、解决方案是改用另一种语言的批评人士,这位已经 72 岁的大佬予以了驳斥。
第一,安全性指的不仅仅是内存安全。
第二,语言之间的互操作性需求往往会被忽视。
第三,语言切换的成本通常会被低估。
Stroustrup 首先指出“通常提到的安全性只是内存安全——这是不够的......与其他语言(包括 C++ 和 C)进行互操作的需求往往不会被提及。而且转换的成本可能非常高。这一点很少被提及......”
“从我所看到的观点来看,我们将用大约 7 种不同的语言来取代 C++。也许在距今四十年后,我们可能会有 20 种不同的语言,它们必须相互操作。这将会很困难。”
Stroustrup 还指出,“许多所谓的‘安全’语言将所有底层的东西都外包给了 C 或 C++”,暂时脱离原始语言来访问硬件资源,甚至操作系统 (通常是用 C 编写的)——甚至可能是极为古老的、藏在外部库中的“可信代码”……
Stroustrup 把我们目前的情况称为“一种渐进式和进化式的方法,而不是一味追求全新的方法。”就像盖尔定律:“一个有效的复杂系统势必是从一个有效的简单系统发展而来的。”
归根结底,就像 Stroustrup 所指出的,切换语言可能看起来是在构建一个新系统,但是想越过所有旧系统的问题来解决一切,只是一个幻想。切换语言所要付出的代价可能远比你理想中的要高。
Stroustrup 提到了安全性的许多概念,重点介绍了资源泄漏、溢出、内存损坏、计时错误、并发错误、终止错误——当然还有类型错误。随后,他就 C++ 安全性的发展趋向进行了详细阐释。
Stroustrup 称当前是“一个机会”,他强调,类型和资源安全从 C++ 诞生之初就一直是它的目标。“我们当时的硬件无法提供完全的安全性,现在也无法对所有语言和所有用例提供完全的安全性。”但是 Stroustrup 也不希望看到对 C++ 表达的限制,事实上他设想了一个仍然遵循该语言的 ISO 标准的解决方案。
“我们需要它是 C++。也就是说,我们能做什么不应该受到限制,即使我们如何做可能会受到限制。”
与此同时,Stroustrup 也不希望看到大量的额外运行时开销。“性能不应该有任何下降......实际上,编写安全代码的一些技术可以提高性能。我主要谈论的是编译器和静态检查可以做什么,因为它是免费的,或者实际上可以提高性能。”
Stroustrup 找到了他的解决方案:配置文件。也就是说,一套规则,只要遵守,就能实现特定的安全保证。它们将由 ISO C++ 标准定义,解决常见的安全问题,如指针和数组范围。
至于添加新工具的困难,Stroustrup 指出,C++ 编译器本身现在是一个相当复杂的静态分析器,也可以满足配置文件的要求。因此,在添加提高安全性的工具时,“我认为配置文件注释应该有助于解决这个问题”。
Stroustrup 列出了一般策略:使用静态分析来消除潜在的错误。但 Stroustrup 补充说:“全局静态分析是负担不起的。”
“所以基本上我们需要规则来简化我们正在编写的内容,使其能够高效、低成本地分析——本地静态分析……然后提供库,使依赖这些规则变得可行。”
另外,他还指出了这种策略的另一个优势:“支持从旧代码到提供担保的现代代码的逐步转换。”将有一套标准的“基本”担保,以及更大、更开放的可用担保。Stroustrup 说:“我想象的是类型和资源安全,内存安全,范围安全。诸如算术安全之类的东西是可以标准化的。”此外,还将制定规则,对不同的代码片段应用不同的保证。代码甚至可以得到应用了哪些保证的显式表达式 (从而使将来的读者放心)。
Stroustrup 简要说明了一点:“小心”是行不通的。因此,虽然核心指导方针可能建议安全的编码实践,但“我们需要强制执行的规则”。
“我们必须制定安全使用的规则。我们必须提供方法来验证人们是否真的在做他们想做的事情。”Stroustrup 指出,他所描述的大部分内容已经被尝试过,甚至有规模化的实践。“但这些都没有被整合成一个一致的、连贯的整体。这就是我认为我们应该做的。”
“卫生规则 + 静态分析 + 运行时检查”就是被提炼出的公式。Stroustrup 说 C++ 可以消除许多常见的错误,包括未初始化的变量,范围错误,空指针解引用,资源泄漏和悬空引用。
在演讲接近尾声时,Stroustrup 谈到了更多的细节。“我建议你采用基于模块的控件。”
还在开发中的是代码内控件,用于代码片段。
目前这项工作还在进行中,你可以查到与之相关的论文和讨论。Stroustrup 谈到:“从经典的 C,从‘带类的 C’,到 C++11,我们已经走了很长很长的路。”
面向开发者,Stroustrup 建议用户可以帮助完善配置文件并将其规范形式化。“我梦想着像 Profiles Light 这样的东西,它提供了配置文件的大部分保证,但不能做所有最后的事情,因为,比如说,静态分析器还不能做到这一点。”
Stroustrup 创建了一个 GitHub 存储库,“人们可以在那里提出建议,我将把我的草稿等放在那里,这样我们就可以创建一个社区,致力于在合理的时间内完成这些事情。
存储库询问需要什么才能使配置文件成为“满足各种 C++ 安全需求的全行业工具”,并将该概念称为框架。“为了实现广泛使用,必须创建和安装许多部件。虽然我们已经做了很多工作,但广泛可用的相对较少。这是一个愿望清单。请尽你所能提供帮助。”
参考链接:
https://thenewstack.io/bjarne-stroustrups-plan-for-bringing-safety-to-c/