Vlákno názorů k článku
Středně vážné zranitelnosti sudo-rs se týkají i Ubuntu 25.10 od cc - Hlavně, že to je memory safe!

Hlavně, že to je memory safe!

Memory safe ≠ logically safe

Tohle jsem zazil nekolikrat. Prevzal jsem sw ktery byl na stare technologii a mel jsem na vyber. Bud to zuby, nechty udrzovat nebo prepsat do noveho.
Prepsani bolero. Objevovali se tam takove detske chyby. Nakonec si to sedlo a ja jsem rad ze jsem do toho sel.

Paměťová bezpečnost řeší velkou skupinu rozšířených problémů, ale samozřejmě ne všechny.

Tak proto gentoo dodava binarky rustu, protoze to ani samo sebe zkompilovat nezvladne ... a i kdyz se o to nekdo pokusi, tak to bleje warning na kazdym radku kodu. Legracni je na tom predevsim to, ze 99% tech warnigu je prave na tema memory unsafe.

Jestli vůbec.

1) Ani safe Rust tohle nezaručuje, protože v kompilátoru jsou bugy (staré i několik let, kdy v safe kódu můžete přistupovat třeba k již uvolněné paměti).

2) Každá pátá knihovna na crates.io obsahuje unsafe kód, který může být špatně. V některých případech ani nejde říct, zda je dobře či špatně, protože Rust zatím nemá žádnou specifikaci pro aliasing ukazatelů, takže se vlastně nedá říct, zda třeba tokio je v pořádku nebo ne.

3) Psaní unsafe kódu v Rustu je těžší než psaní C kódu (nebo Odin, Zig, C3),
protože po programátorovi se očekává mnohem víc - ty invarianty co musíte dodržet jsou mnohem složitější a je mnohem snazší je porušit. Navíc ten program v Rustu často může zatím fungovat, i když ve skutečnosti obsahuje nedefinované chování.

Jo, jenže v Rustu se ty problémy (všeho typu) postupně řeší. Problémy dané použitím C se principiálně nevyřeší nikdy.

Bugy v kompilátoru věřím, že vyřeší.

Ale množství unsafe kódu v různých knihovanách asi ne - to by se musel Rust změnit, aby to co se dnes píše v unsafe kódu, šlo napsat v safe kódu a běželo to stejně rychle (nebo rychleji).

Ideální by bylo, kdyby Rust přišel s nějakým jednoduchým modelem pro aliasing, který zároveň umožňuje optimalizace. Jediný kandidát je zatím Tree Borrows, ale úplně jednoduchý není (možná totiž žádný jednoduchý model pro aliasing ani neexistuje).

A proč je unsafe kód v rustu takový problém?

Ten unsafe kód je krásně izolovaný a obecně ho není moc. Třeba v C++ je unsafe všechno by design, v rustu se dá všechno dohledat a třeba auditovat.

Unsafe je pro systémový jazyk prostě potřeba.

Takto jsem to nemyslel.

Ono teď tu máme nový memory safe jazyk, a hle... Další a další CVE, dokonce v tak důležité aplikaci jako je sudo. Nakonec zjistíme, že šance na logickou chybu je mnohem větší než šance na nějaký buffer overflow.

Co jsem si všiml, tak hlavně v rustu si hodně lidí myslí, že když se to zkompiluje, tak to je bezchybné. Já se osobně ale přikláním k tomu, že jsou potřeba i testy, a hodně.

Testy nikdy neškodí. Nicméně existuje dobrý důvod, proč se masově nepoužívá třeba ASM.

S tím nesouhlasím.

Já píšu i asm, tam kde to má benefit, a abych byl upřímný, tak udělat chybu v asm, díky které projdou testy a program nespadne je mnohem mnohem těžší, než udělat chybu třeba v C++.

V asm se nepíšou aplikace, jen kritické funkce, které není problém kompletně otestovat.

Třeba v golangu se asm píše běžně (je to jediná možnost jak něco optimalizovat v go) a není to v podstatě žádný problém pro celý ekosystém - neslyšel jsem o chybě v asm, spíš zase ty logické chyby v go, popř. data race.

12. 11. 2025, 11:30 editováno autorem komentáře

Psaní unsafe kódu v Rustu je těžší než psaní C kódu

Jen taková OT myšlenka, který mě napadla už když jsem poprvé viděl syntax Rustu a nutnosti u každé proměnné označovat, jestli je to move, borrow apod, tak jsem se zamyslel, proč to tam vůbec je a jestli vůbec existuje jazyk, který by všechny tyhle problémy převedl na formální správnost, tedy zkompiluju pouze formálně správný kód, u kterého lze dokázat nějakou kvalitu. Potom by bylo jednak naprosto jasné, co se musí a nemusí kopírovat a hlavně by se snadno dělalo něco (můj sen), jako automatická paralelizace do mnoha threadů (což je třeba u share nothing modelu trivka).