Vlákno názorů k článku
Greg Kroah-Hartman se také vyslovil pro Rust v jádře od alex6bbc - a neexistuje projekt konpilatoru c, ktery by kontroloval...

a neexistuje projekt konpilatoru c, ktery by kontroloval vice nad ramec toho co je bezne, pripadne mit v jazyce direktivy kompilatoru pro kontrolu pointeru s polem atd.

Nebyl by to pak ± Rust s jinou syntaxí?

Ono pár takových pokusů bylo. Ale uchytil se až ten Rust.

Google mi ukazuje třeba https://github.com/checkedc/checkedc (Microsoft Research).

A pak jsou tu nástroje jako cppcheck nebo https://clang-analyzer.llvm.org/

Jo, myslím, že na nějaký takový nástroj jsem před lety taky narazil. Ale hlavně mi z toho komentáře přijde, že kdyby výsledkem byl téměř Rust, ale se syntaxí C, vešlo by se do požadavků alex6bbc. Je pak ale otázka, jaké by to mělo výhody.

Téměř Rust se syntaxí C++ je Safe C++. Odhlédněme od toho, že je to C++ a ne C, protože C je prakticky subset C++. Je to pochopitelně s C++ nekompatibilní, ale je to memory-safe a velká výhoda Safe C++ je interoperabilita, jde z toho přímo volat existující C++ kód, takže by to umožňovalo postupnout migraci s využitím existujícího kódu.

Lifetime objektů se řeší stejně jako v Rustu, používá to borrow checker. Problém je, že C++ steering committee to prakticky pohřbila a odmítla se tím zabývat, i když dostala funkční prototyp i s compilerem na stříbrném podnose. Místo toho tlačí steering committee profily, které ale neudělají z C++ memory-safe jazyk a momentálně jsou v takovém stavu, že se ani nedostanou do C++26.

Myslím, že přímo s C je to těžké, protože pole je tam v podstatě jen ukazatel bez délky. Takže, pokud ho předáte do funkce, tak délku musíte předat jako další argument. Novější nízkoúrovňové C-like přidaly slice, což je dvojice ukazatel na první prvek a délka. A tam už jde snáze kontrolovat přístup mimo jeho hranice.

Můj názor je, že zásadní je styl programování. To, jak se C často učí, je IMO špatně a vede to k těm problémům. Když člověk začne používat jiný styl, tak si hodně problémů ušetří. Doporučuji How I program C od Eskila Steenberga + vyhnout se práci s jednotlivými hodnotami a pracovat spíše s jejich skupinami. Jednak je to lepší pro výkon programu a druhak je to snazší. Protože, když mám sto hodnot a každou z nich mám uvolnit/deini­cializovat zvlášť, tak to spíše pokazím, než když celou skupinu uvolním/deini­cializuji jedním nebo dvěma příkazy. To je také důvod, proč nové nízkoúrovňové jazyky kladou důraz na vlastní alokátory.

jako jsou attributy, ktere resi kompiler, treba

struct foo {
char c;
int x;
} __attribute__((pac­ked));

tak by bylo neco jako pro ukazatel predstavujici pole, treba v ramci komentare, aby to nezasahovalo do kodu, ale specialni kompiler by to bral v potaz.

/* compiler: array size N */
char* arr=malloc(N*si­zeof(char));