上週，MSRC（微軟安全響應中心）透露出擁抱Rust的打算，隨後他們將這個話題擴展為一個系列，進一步闡述了使用安全的系統編程語言的的必要性，以及選擇Rust的原因。在該系列最新一篇文章中，MSRC團隊首席雲開發佈道師Ryan Levick解釋了為什麼他們認為Rust編程語言目前是業界採用的最佳選擇，不僅僅是因為它能夠以內存安全的方式編寫系統級程序。

“首先，已經有很多出色的內存安全語言在微軟內外廣泛使用，包括.NET語言（像是C#或F#）和其他語言（例如Swift、Go和Python）。我們鼓勵目前使用C或C++的人將其中任意一種語言納入考慮。不過現在談論的是對安全的系統編程語言的需求，此類工作負載需要C、C++和Rust能夠提供的速度和可預測的性能。通過垃圾回收實現內存安全的語言不是系統編程的理想選擇，因為它們的運行時間會導致不可預測的性能和不必要的成本。”

性能和控制

Levick 指出，最好先考慮一下無法從 C 和C++ 放棄的東西——性能和控制，就能更清楚地明白 Rust 為什麼是一個好的選擇。像C 和C++ 一樣，Rust 有一個最小的可選“運行時”。Rust 的標準庫同樣依賴於libc，但標準庫也是可選的，因此在沒有操作系統的平台上運行也是可能的。

仍然像C 和C++ 一樣，Rust 為程序員在何時分配內存以及分配內存的多少上提供了精細的控制，使程序員能夠非常清楚地知道程序每次運行時的確切執行方式。在原始速度、控制和可預測性方面，這對於性能來說意味著什麼？那就是，“Rust、C 和C++ 可以用類似的術語來思考”。

安全

Rust 與C 和C++ 的區別在於其強大的安全保障，某種程度上來說Rust 完全是內存安全（memory safe）的。正如之前那篇文章提到的，微軟大約70% 的安全問題是內存安全問題。如果這些軟件用Rust 編寫，那麼這 70% 的安全問題很可能就不存在。

在系統編程中，有時程序員必須執行無法靜態驗證為安全的操作。Rust 為程序員提供了將這些操作封裝在安全抽像中的工具，這意味著曾經降級為代碼註釋或約定的東西可以由Rust 編譯器靜態強制執行。

不僅僅是性能與安全

Rust 最初引起MSRC 的興趣正是由於上述性能與安全方面的特性。但它的的魅力不止於此，已經有其他微軟團隊開始採用Rust，主要出於以下原因：

• 根據微軟內部調查，採用它的最主要原因是“精密性”（correctness）——“if it compiles, then it works”。
• Rust 靜態地強制執行程序的許多屬性，已經遠超內存安全性，還包括空指針安全性和數據爭用安全性（即沒有來自兩個或多個線程的一塊內存的不同步訪問）。
• Rust 的豐富類型系統使編寫富有表現力的程序成為可能。具有相關數據的枚舉和強大的trait 系統等概念進一步強化了Rust 的目標，即盡可能使程序無錯誤。
• Rust 現有的社區對該語言有很大益處。雖然Rust 仍然是一種年輕語言，但它擁有一個健康的生態系統，既能夠促進開源社區發展強大，又能夠支持生產用戶。

Levick 表示有足夠的理由相信Rust 會有一個光明的未來，“雖然現在大規模採用Rust 還為時過早，但早期採用Rust 通常是非常積極且正面的”。他們相信Rust 在編寫安全的系統軟件時會改變遊戲規則。Rust 提供編寫底層系統所需的性能和控制，同時使軟件開發人員能夠編寫更健壯、安全的程序。

不過，MSRC 在研究Rust 時發現了一些問題，其中包括如何規範Rust 的“不安全”（unsafe）超集的使用，缺乏與C++ 的一流互操作性，以及與現有Microsoft 工具的互操作性。這確實對微軟採用Rust 提出了挑戰，但MSRC 還是滿懷期待：“我們對這些可能性感到興奮。 雖然還有許多關於Rust 如何適應整個Microsoft 工程的問題需要弄清楚，但我們鼓勵其他人一同加入，認真考慮這門語言，以滿足他們的系統編程需求。”

MSRC博客原文：https://msrc-blog.microsoft.com/2019/07/22/why-rust-for-safe-systems-programming/