Vlákno názorů k článku Rust: programovací jazyk do aut, vlaků a letadel od radekm - Těch jazyků, co se snaží nahradit C++ je...
-
radekmStříbrný podporovatelTěch jazyků, co se snaží nahradit C++ je spousta (Nim, Zig, Hylo, Vale, Scala Native, Cone, ...).
Rust patří spíš mezi ty komplikovanější. A paradoxně řada velice oblíbených knihoven obsahuje unsafe kód, který nebyl formálně verifikován a teoreticky může způsobit problémy jako v C++ (někdy i prakticky - např. Unsoundness in owning_ref).
-
> Těch jazyků, co se snaží nahradit C++ je spousta (Nim, Zig, Hylo, Vale, Scala Native, Cone, ...).
Zrovna Scala Native (ostatní neznám) se sice kompiluje do nativního kódu, ale má GC. Takže mi přijde jako trochu jiná kategorie než
> A paradoxně řada velice oblíbených knihoven obsahuje unsafe kód, který nebyl formálně verifikován a teoreticky může způsobit problémy jako v C++
To platí i pro Python, Ruby, server-side JS a (od oka méně často) pro Javu. Akorát tam nejde o unsafe blok, ale o nativní kód v nějakém unsafe jazyce. Samozřejmě se bude lišit frekvence.
-
radekmStříbrný podporovatel
No jo jenže v Rustu bez unsafe nenapíšete ani paralelní zpracování vektoru. Protože nejde, aby víc vláken mělo mut referenci naráz. Což v ostatních jazycích uděláte v klidu.
Takže v Rustu musíte použít unsafe a rázem otevřete brány hromadě dalších problémů nejen race condition.
-
radekmStříbrný podporovatel
Jakto? V unsafe bloku mohu přece najednou porušit úplně všechno, ne?
Nebo tam je možnost granulárně povolit race condition, ale vyhnout se nepovoleným přístupům do paměti?
-
KateStříbrný podporovatel
A je zrovna krásná ukázka toho, jak se to má dělat. Každý Unsafe je dokumentovaný a u každého je reasoning proč je to sound. Unsafe by default jazyky tady v porovnání fakt neobstojí.
-
radekmStříbrný podporovatel
> Každý Unsafe je dokumentovaný a u každého je reasoning proč je to sound.
Pokud by se tomu dalo věřit, tak by to bylo hezké. Jenže právě point Rustu je, že na lidi není moc spoleh a měl by to kontrolovat kompilátor, ne?
-
KateStříbrný podporovatel
Ne, pointa je množství unsafe snížit na naprosto nutné minimum (i když programů které unsafe nemají vůbec je dost). Kontrolovat pár unsafe bloků na soundness je rozhodně snazší než kontrolovat kvůli tomu celý program včetně ne jedné, dvou, ale všech závislostí.
A opět, i Unsafe v Rustu je pořád bezpečnější než to samé v C++.
Nikdy nezapomenu na situaci, kdy se v C++ upstream jedné námi linkované knihovny rozhodl v nové verzi zahodit thread safety. Nikdo si toho nevšiml, kompilace na nové verzi debianu proběhla v pohodě, pak nám to v produkci začalo padat. Debugging byla opravdu radost. V Rustu se taková věc prostě nezkompiluje.
31. 10. 2023, 19:24 editováno autorem komentáře
-
Tak on v podstatě každý program používá nějaký unsafe kód. I hello world v libovolném jazyce. Někdy je unsafe skryt v kompilátoru, někdy ve standardní knihovně, často v obojím.
Tím nechci říct, že na tom nezáleží. Lze se snažit množství unsafe kódu redukovat, a ten, co zůstane, co nejlépe prověřit. A Rust oproti Cčku nabízí zajímavý posun.
-
radekmStříbrný podporovatel
Jenže safety není úplně lokální vlastnost. Chybu lze zanést i tím, že safe kód poruší nějaký invariant, na který unsafe kód spoléhal. Takže nestačí pečlivě pročíst jen unsafe bloky.
-
radekmStříbrný podporovatel
Nebo jiný příklad je: Chcete, aby vaše implementace Ord závisela na datech v jiné struktuře (třeba pořadí ve vektoru). Ale instance traitů jsou globální, takže Ord nemůže záviset na lokální proměnné. Takže musí záviset na globální proměnné, takže potřebujete unsafe.
-
KateStříbrný podporovatel
No zrovna tlačit do traitu jako Ord data z nějaké externí struktury mi přijde jako slušná prasárna a porušení principle of least astonishment - existuje nějaký relevantní příklad kde to nebude vypadat jako velice špatný nápad?
To už bych raději implementovala funkci jako "order_with" nebo podobně.
-
radekmStříbrný podporovatel
Příklad je internování (třeba stringů nebo složitějších struktur).
Strukturu, která se používá vícekrát, nahradím indexem do tabulky. A tyto indexy chci třídit podle hodnot, na které odkazují.
> To už bych raději implementovala funkci jako "order_with" nebo podobně.
To bych klidně udělal. Jenže třeba BTreeMap, BTreeSet a BinaryHeap nedovolují takovou funkci použít. A musíte je znovu implmentovat. Viz crate copse
-
KateStříbrný podporovatel
Něco takového? https://play.rust-lang.org/?version=stable&mode=debug&edition=2021&gist=770005eaed00475037695723393eec07
Dá se to ještě zlepšit dalším kontejnerem a hozením BTreeSet - u do inner + nějaké pocné funkce na tvorbu, ale… Nevidím problém?
-
radekmStříbrný podporovatel
V principu ano. Nevýhodou je, že součástí každého itemu je ukazatel na celou tabulku. Každý item má 16 bajtů na 64-bitové architektuře.
Pokud by itemů bylo do 2^16, tak by měla stačit velikost itemu 2 bajty.
-
radekmStříbrný podporovatel
Obskurní možná, ale měla 11 milionů stažení, což není málo. A kde je záruka, že to nedělají ostatní knihovny s unsafe kódem? Bohužel i změna v safe části může ovlivnit chování unsafe části programu. Takže teoreticky by se při každém commitu měl reviewovat celý projekt.
Hlavní prodejní heslo Rustu je bezpečnost. Přičemž řada oblíbených knihoven si nevystačí s bezpečnou podmnožinou jazyka.
> Jazyky, které nezískaly momentum a nemají rozumnou komunitu a podporu, ale nejde srovnávat s Rustem.
Záleží, co hraje roli pro konkrétní projekt. Třeba Nim i Zig se používají v produkci a mají k dispozici i dost C a C++ knihoven.
-
radekmStříbrný podporovatel
> Kdo dělá review pro knihovny v C, které používá Zig?
Lidé co je napsali/používají (čekal bych, že je to stejné jako v Rustu)?
-
KateStříbrný podporovatel
Osobně si nechávám přes cargo-geiger vypsat knihovny s unsafe a dvakrát si rozmýšlím jestli konkrétní knihovnu vůbec použít.
I tak se ale bavíme o knihovně s nějakými unsafe bloky, která pořád těží třeba z borrow-checkeru (ten unsafe nevyřadí) a které můžou být teoreticky unsound. A v případě problému je hned jasné kde hledat.
V porovnání s knihovnou v C/C++, kde může být unsound naprosto cokoliv a má podstatně větší prostor k chybě vývojáře.
-
KateStříbrný podporovatel
undefined_behavior { unsafe { int main(int argc, char *argv[]) { } } }31. 10. 2023, 16:16 editováno autorem komentáře
-
radekmStříbrný podporovatel
> A v případě problému je hned jasné kde hledat.
Ne úplně. Příčinnou může být chyba v safe kódu. Například invariant, který by měl platit, ale neplatí.
Cituji Rustonomicon:
> This program is now unsound, Safe Rust can cause Undefined Behavior, and yet we only modified safe code. This is the fundamental problem of safety: it's non-local. The soundness of our unsafe operations necessarily depends on the state established by otherwise "safe" operations.
