Forum du club des d�veloppeurs et IT Pro - C#

Am�liorer la s�curit� de la m�moire en C#, par Richard Lander

Richard Lander — Mon, 25 May 2026 16:03:37 GMT

Am�liorer la s�curit� de la m�moire en C#, Richard Lander

C# est un langage de programmation de haut niveau � usage g�n�ral prenant en charge plusieurs paradigmes. C# englobe le typage statique, le typage fort, la port�e lexicale, la programmation imp�rative, d�clarative, fonctionnelle, g�n�rique, orient�e objet (bas�e sur les classes) et orient�e composants.

Les principaux concepteurs du langage de programmation C# �taient Anders Hejlsberg, Scott Wiltamuth et Peter Golde, de Microsoft. Il a �t� largement diffus� pour la premi�re fois en juillet 2000 et a ensuite �t� approuv� comme norme internationale par l'Ecma (ECMA-334) en 2002 et par l'ISO/IEC (ISO/IEC 23270 et 20619) en 2003. Microsoft a lanc� C# en m�me temps que le .NET Framework et Microsoft Visual Studio, qui sont tous deux, techniquement parlant, des logiciels � code source ferm�. � l'�poque, Microsoft ne proposait aucun produit open source. Quatre ans plus tard, en 2004, un projet libre et open source appel� Mono a vu le jour, fournissant un compilateur multiplateforme et un environnement d'ex�cution pour le langage de programmation C#. Une d�cennie plus tard, Microsoft a lanc� Visual Studio Code (�diteur de code), Roslyn (compilateur) et la plateforme .NET unifi�e (framework logiciel), qui prennent tous en charge C# et sont gratuits, open source et multiplateformes. Mono a �galement rejoint Microsoft, mais n'a pas �t� int�gr� � .NET.

Nous sommes en train d�am�liorer consid�rablement la s�curit� de la m�moire en C#. Le mot-cl� unsafe est en cours de refonte afin d�indiquer aux appelants qu�ils ont des obligations � respecter pour garantir la s�curit�, document�es via un nouveau style de commentaire de s�curit�. Le champ d�application de ce mot-cl� s��tendra du simple marquage des pointeurs � tout code interagissant avec la m�moire d�une mani�re que le compilateur ne peut pas valider comme s�re. Le compilateur veillera � ce que le mot-cl� unsafe soit utilis� pour encapsuler les op�rations non s�curis�es. Il en r�sultera que les contrats et les hypoth�ses de s�curit� deviendront visibles et v�rifiables, au lieu d��tre simplement implicites par convention.

Nous pr�voyons de publier le nouveau mod�le et la nouvelle syntaxe (officiellement une fonctionnalit� de C# 16) en avant-premi�re dans .NET 11 et en version finale dans .NET 12. Cette fonctionnalit� sera initialement optionnelle et pourrait devenir la valeur par d�faut dans une version ult�rieure. Nous mettrons � jour les mod�les pour activer le nouveau mod�le, tout comme nous l�avons fait avec les types de r�f�rence nullables. La premi�re impl�mentation du compilateur a �t� int�gr�e dans la branche principale et prend forme.

C# 1.0 a introduit le mot-cl� unsafe comme moyen d��tablir un contexte non s�curis� sur les types, les m�thodes et les blocs de m�thodes internes, permettant aux d�veloppeurs de choisir la port�e la plus pratique. Un contexte non s�curis� accorde l�acc�s aux fonctionnalit�s des pointeurs. Une m�thode marqu�e comme unsafe peut utiliser ces fonctionnalit�s dans sa signature et son impl�mentation, contrairement aux m�thodes non marqu�es. Nous avons �galement expos� un ensemble de types � unsafe � tels que System.Runtime.CompilerServices.Unsafe et System.Runtime.InteropServices.Marshal, dont l�utilisation devait �tre prudente par convention.

Le mot-cl� unsafe a depuis �t� r�utilis� et r�interpr�t� dans Rust et Swift, o� les �quipes de ces langages lui ont donn� une s�mantique plus stricte, ax�e sur la propagation. C# 16 suit la m�me voie, applique unsafe de mani�re uniforme (y compris sur les membres Unsafe et Marshal) dans les biblioth�ques d'ex�cution .NET, et ressemble le plus � l'impl�mentation de Rust. R�sultat : unsafe cesse de marquer un type de syntaxe et commence � marquer un type de contrat ; un contrat que le compilateur ne peut pas v�rifier, mais qu'un d�veloppeur exp�riment� doit lire et respecter.

C# bloque d�j� le code unsafe par d�faut. La plupart des d�veloppeurs ne remarqueront aucun changement lorsqu�ils activeront le nouveau mod�le, car ils n�activent ni n�utilisent pas d�API unsafe. Le blocage par d�faut couvrira une surface beaucoup plus large lorsque le mod�le de s�curit� de C# 16 sera activ�. Le nouveau mod�le �tablit des garde-fous solides qui sont visibles, v�rifiables et appliqu�s par le compilateur. C�est �galement un outil important pour faire respecter les normes d�ing�nierie et de la cha�ne d�approvisionnement. La s�curit� de la m�moire est une priorit� croissante dans l�industrie et au sein des administrations depuis plusieurs ann�es, et la g�n�ration de code assist�e par l�IA ajoute une nouvelle dimension � mesure que la production de logiciels s�acc�l�re plus vite que la r�vision humaine.

S�curit�

Un article pr�c�dent traite des m�canismes de s�curit� structurelle dans .NET :

Citation:

la s�curit� est appliqu�e par une combinaison du langage et du runtime� Les variables font r�f�rence � des objets actifs, sont nulles ou sont hors de port�e. La m�moire est auto-initialis�e par d�faut, de sorte que les nouveaux objets n'utilisent pas de m�moire non initialis�e. La v�rification des limites garantit que l'acc�s � un �l�ment avec un index invalide ne permettra pas de lire de la m�moire ind�finie � souvent caus�e par des erreurs de d�calage d'un � mais entra�nera � la place une exception IndexOutOfRangeException.

C# int�gre une application stricte des r�gles de s�curit� pour un code s�r standard. Le nouveau mod�le permet aux d�veloppeurs et aux agents de marquer avec pr�cision les limites de s�curit� dans le code non s�curis�. Il existe deux raisons d'�crire du code non s�curis� : l'interop�rabilit� avec du code natif et, dans certains cas, pour des raisons de performances. Go, Rust et Swift incluent �galement un dialecte non s�curis� pour ces cas. Le langage ne peut g�n�ralement pas vous aider � �crire du code non s�curis� ; son r�le est d'indiquer clairement o� le code non s�curis� est utilis� et comment il revient vers du code s�curis�.

La s�curit� en programmation est peut-�tre plus facile � comprendre si l�on prend un autre domaine comme exemple. Les concepteurs de routes am�liorent la s�curit� en peignant des lignes continues jaunes ou blanches qui interdisent de passer sur la voie oppos�e. Les conducteurs comprennent et respectent cette convention. Les autoroutes � grande vitesse utilisent des barri�res pour assurer la s�curit� gr�ce � une s�paration structurelle qui continue de fonctionner m�me en l�absence de respect des r�gles. L�exemple de l�autoroute nous montre que des vitesses plus �lev�es s�accompagnent de risques plus importants.

La programmation a ses propres types d�accidents, li�s � la m�moire. Chaque application a potentiellement acc�s � des gigaoctets de m�moire virtuelle. �crire ou lire dans une m�moire arbitraire entra�ne un comportement arbitraire (le terme technique est � comportement ind�fini �, ou UB) et est la cause de la plupart des bogues de s�curit�. L�acc�s � une m�moire arbitraire n�est pas possible dans un code s�r, mais reste une possibilit� omnipr�sente dans un code non s�r.

Le mod�le en bref

Les programmes .NET doivent respecter une invariante fondamentale : tout acc�s � la m�moire doit viser de la m�moire active, c'est-�-dire de la m�moire allou�e, initialis�e et disponible au moment de l'acc�s. Le code s�curis� garantit cela de par sa conception : les r�gles du compilateur et les v�rifications d'ex�cution se combinent pour rendre impossible tout acc�s erron�. Le code non s�curis� d�signe toute op�ration susceptible de violer cette invariante, g�n�ralement en lisant ou en �crivant dans de la m�moire qui n'est pas active, ou en laissant la m�moire dans un �tat o� un acc�s ult�rieur �chouera.

Le code non s�curis� peut lire ou �crire dans de la m�moire arbitraire accessible via l'interop�rabilit�, par NativeMemory, ou g�r�e manuellement par le d�veloppeur. L'invariante doit n�anmoins �tre respect�e. Le compilateur ne peut pas d�tecter d'UB dans ce cas, la charge de la validation incombe donc au d�veloppeur.

La solution � ce risque consiste en un ensemble de m�canismes en couches qui propagent de mani�re intentionnelle et transparente l'ins�curit� � travers le graphe d'appel, chaque couche permettant � la suivante de fonctionner :

1. Bloc inner unsafe { } : toute op�ration non s�curis�e (appel d'un membre unsafe, d�r�f�rencement d'un pointeur et autres actions non s�curis�es) doit appara�tre � l'int�rieur d'un bloc inner unsafe { }. Il s'agit du m�canisme de base. Les op�rations non s�curis�es sont marqu�es syntaxiquement, ont une port�e d�finie et sont v�rifiables.

2. Propagation : l'ajout de unsafe � la signature de la m�thode englobante republie les obligations du bloc interne � ses propres appelants, � moins qu'elles ne soient lev�es. Cela scinde le graphe d'appel en m�thodes s�res, m�thodes unsafe et m�thodes de fronti�re entre elles. Les d�veloppeurs peuvent encha�ner la propagation � travers un nombre illimit� d'interm�diaires jusqu'� ce que quelqu'un d�cide de l'arr�ter.

3. Documentation de s�curit� : chaque �l�ment unsafe doit comporter un bloc /// : le contrat formel entre l'appel� et l'appelant. Sa r�daction est une bonne pratique fortement encourag�e, et les analyseurs peuvent signaler son absence.

4. Suppression � la fronti�re : une m�thode qui contient un bloc unsafe interne mais ne marque pas sa propre signature comme unsafe constitue la fronti�re entre le code unsafe et le code safe. Elle s'acquitte des obligations document�es de l'appel�, par le biais de gardes d'ex�cution sur les entr�es, de raisonnements statiques ou d'invariants document�s provenant d'API en amont (par exemple, malloc garantissant que le pointeur renvoy� est valide pour au moins size octets). C'est cette ex�cution correcte qui rend les appelants s�rs r�ellement s�rs.

Il faut parcourir chaque couche pour en tirer la valeur. Si vous ne faites que la moiti� du travail, vous n'obtiendrez bien moins de la moiti� de la valeur. Parcourez correctement chaque couche et vous disposerez d'un raisonnement coh�rent � travers un graphe d'appels que d'autres pourront examiner et �ventuellement am�liorer.

L'�criture de code non s�curis� est une comp�tence particuli�re qui n�cessite une solide compr�hension de cet invariant et de nombreux pi�ges. Le nouveau mod�le facilite le raisonnement et la r�vision du code non s�curis�, mais pas son �criture � il impose une structure formelle et visible. Les mots-cl�s et l'application par le compilateur ne constituent pas la s�curit� ; ils sont l'�chafaudage qui permet aux d�veloppeurs de l'articuler et de la respecter.

C# 1.0 regroupait une cat�gorie de � fonctionnalit�s de pointeurs � sous unsafe : la d�claration et la d�r�f�rencement de types de pointeurs, la r�cup�ration de l'adresse de variables, stackalloc vers un pointeur, sizeof sur des types arbitraires, et d'autres capacit�s ajout�es au fil des ans, y compris la suppression de certaines erreurs de compilation. Le nouveau mod�le est plus s�lectif.

Les changements par rapport aux r�gles de C# 1.0 incluent :

- Le modificateur de type unsafe g�n�re une erreur. La port�e unsafe est d�sormais limit�e aux m�thodes, propri�t�s et champs individuels, o� son contrat est visible et sp�cifi� de mani�re plus concise. Les d�l�gu�s ne peuvent pas non plus �tre unsafe car ils sont de type d�fini.

- unsafe n'est pas autoris� sur les constructeurs statiques ou les finaliseurs. Leurs invocations ne pr�sentent pas de mod�le de site d'appel pouvant �tre encapsul� dans un bloc unsafe { }, de sorte que le marqueur de signature n'a rien � propager.

- La contrainte g�n�rique new() ne correspond qu'� un constructeur sans param�tre s�r ; un type dont le constructeur sans param�tre est unsafe ne peut pas satisfaire new().

- Un nouveau mot-cl� safe permet � un d�veloppeur d�attester qu�une d�claration est correcte lorsque le compilateur exige que ce choix soit explicite. � l�heure actuelle, le seul cas de figure concern� est celui des d�clarations extern, qui doivent �tre marqu�es safe ou unsafe, y compris les d�clarations de m�thodes partielles LibraryImport.

- L�utilisation de unsafe sur un membre n��tablit plus un contexte non s�curis�. Des blocs unsafe internes sont d�sormais requis aux sites d�appel non s�curis�s.

- Les types de pointeurs dans les signatures ne propagent plus la non-s�curit�. Seules les d�r�f�rencements de pointeurs sont non s�curis�s ; ainsi, un param�tre de type byte* ne propage pas en soi la non-s�curit� � ses appelants. Pour le nouveau code, �vitez IntPtr pour les pointeurs ; privil�giez les pointeurs typ�s comme byte*, ou void* pour les pointeurs v�ritablement opaques. Pour les API existantes bas�es sur IntPtr, envisagez d�ajouter des surcharges de type pointeur et de masquer ou de rendre obsol�tes les versions IntPtr. Pour les descripteurs opaques, privil�giez SafeHandle. nint et IntPtr sont indiscernables dans les m�tadonn�es ; par cons�quent, lorsqu'un param�tre est v�ritablement un entier de taille native, indiquez-le explicitement.

L'adoption se fait via une nouvelle propri�t� au niveau du projet, accessible par option. Voir Option au niveau du projet pour plus de d�tails.

Le mod�le en pratique

Un code non s�curis� augmente consid�rablement les risques et pr�sente toujours des limites illimit�es dans une certaine mesure. Les meilleures API non s�curis�es sont con�ues pour r�duire au maximum ces limites illimit�es : elles int�grent tout ce qu'elles peuvent dans la signature, traitent tout ce qu'elles peuvent dans le corps de la fonction, et laissent � l'appelant un r�sidu restreint et bien d�fini � g�rer lui-m�me.

La m�thode Encoding.GetString(byte*, int) en est un bon exemple.

Code:

1
2
3
4
5
6
7
8
public unsafe string GetString(byte* bytes, int byteCount)
{
    ArgumentNullException.ThrowIfNull(bytes);
 
    ArgumentOutOfRangeException.ThrowIfNegative(byteCount);
 
    return string.CreateStringFromEncoding(bytes, byteCount, this);
}

La m�thode indique clairement ce qu'attend l'API : le param�tre byte* sp�cifie un tampon brut non g�r�, et la valeur associ�e byteCount pr�cise exactement le nombre d'octets que l'API va lire. Le corps de la m�thode g�re ce qu'il peut : un pointeur nul ou une longueur n�gative sont rejet�s et provoquent une exception. Les conditions de s�curit� �liminent un sous-ensemble de cas o� string.CreateStringFromEncoding lirait silencieusement de la m�moire arbitraire. GetString renvoie une nouvelle cha�ne, �liminant ainsi tout probl�me d'aliasing ou de dur�e de vie li� au tampon.

L'appelant n'a qu'une seule obligation stricte : les byteCount octets commen�ant � l'adresse bytes doivent correspondre � de la m�moire lisible. Passer une longueur sup�rieure � celle du tampon entra�ne un comportement ind�fini : le d�codeur peut rencontrer de la m�moire illisible et planter, ou il peut lire tout ce qui se trouve au-del� de la fin et renvoyer une cha�ne construite � partir d'octets �trangers arbitraires. Dans le mod�le existant, c'est le byte* dans la signature qui emp�che cette API d'�tre appel�e depuis du code s�r. Dans le nouveau mod�le, un pointeur dans une signature n'implique plus en soi un manque de s�curit� ; GetString sera explicitement annot� comme unsafe afin qu'il reste inaccessible depuis du code s�curis�.

� Mieux non s�curis� � ne se d�finit pas par plus ou moins dangereux, mais par plus ou moins descriptif du manque de s�curit� ; les couteaux tranchants coupent le mieux, tandis que les couteaux �mouss�s d�chirent.

Marshal.ReadByte est un cas qui appelle davantage � la prudence.

Code:

1
2
3
4
5
6
7
8
9
10
11
12
public static unsafe byte ReadByte(IntPtr ptr, int ofs)
{
    try
    {
        byte* addr = (byte*)ptr + ofs;
        return *addr;
    }
    catch (NullReferenceException)
    {
        throw new AccessViolationException();
    }
}

Les appelants de Marshal.ReadByte transmettent un IntPtr et un d�calage qui, combin�s, d�signent un octet que le programme est autoris� � lire. La diff�rence importante par rapport � GetString r�side dans le fait que ReadByte n'effectue aucune validation des entr�es et peut aujourd'hui �tre appel�e � partir de code s�curis�. La clause try/catch n'offre aucune s�curit�, mais sert � modifier le type d'exception, et ce pour un seul sc�nario de comportement incorrect. La raison pour laquelle cela est consid�r� comme acceptable est que Marshal et Unsafe sont traditionnellement consid�r�s comme dangereux � appeler.

Nous pouvons analyser la m�thode un peu plus en d�tail. La signature unsafe actuelle de ReadByte �tablit un contexte non s�curis� pour l�impl�mentation, mais ne cr�e pas de contrat d�appel ni ne documente d�avertissement � l�appelant. Le mod�le existant propage l�ins�curit� via les types de pointeurs dans les signatures, mais IntPtr contourne cette r�gle ; l�API constitue en fait un contournement des r�gles relatives aux pointeurs.

Le nouveau mod�le comble cette lacune. Il �largit la notion de non-s�curit� pour couvrir toute op�ration susceptible de violer l'invariance de la m�moire active (et pas seulement les op�rations impliquant des types de pointeurs), et fait du marqueur de signature unsafe le contrat de membre, avec des blocs non s�curis�s internes encapsulant les op�rations non s�curis�es. Il aligne �galement le caract�re de s�curit� d'IntPtr et des pointeurs tels que byte* : les deux peuvent �tre d�tenus, assign�s et expos�s dans des signatures en dehors d'un bloc unsafe ; c'est la d�r�f�rence du pointeur qui est non s�curis�e.

ReadByte change avec le nouveau mod�le, selon la maquette suivante :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
/// Reads a single byte from unmanaged memory.
/// 
/// The sum of  and  must address a byte
/// the caller is permitted to read.
/// 
public static unsafe byte ReadByte(IntPtr ptr, int ofs)
{
    try
    {
        byte* addr = (byte*)ptr;
        unsafe
        {
            // SAFETY: relies on caller obligation.
            return addr[ofs];
        }
    }
    catch (NullReferenceException)
    {
        throw new AccessViolationException();
    }
}

Examinons l'impl�mentation. Le transtypage (byte*)ptr est une manipulation de pointeur, pas une d�r�f�rence ; IntPtr et byte* ont la m�me forme, mais une repr�sentation diff�rente ; les deux ne sont qu�un nombre. Le danger r�side dans une seule ligne : return addr[ofs]. C�est l� que le d�veloppeur doit s�assurer que addr + ofs pointe vers une m�moire lisible, car l�indexation d�r�f�rence cette adresse. byte* → byte n�cessite de copier la m�moire de l�adresse du pointeur vers une valeur. C�est l� l�op�ration dangereuse.

Le nouveau mod�le fonctionne parce que la d�r�f�rence du pointeur, addr[ofs], est encapsul�e dans un bloc unsafe, mettant ainsi en �vidence le risque. La signature unsafe devient un contrat pour l'appelant, obligeant ce dernier � encapsuler �galement ses appels dans un bloc unsafe, et lui rappelant de consulter la documentation sur la s�curit� de l'appel�.

Une interpr�tation stricte du � plus petit bloc non s�curis� � placerait l'op�ration arithm�tique + ofs en dehors du bloc, car l'arithm�tique en soi n'est pas une d�r�f�rence. Nous pr�f�rons garder addr[ofs] ensemble : l'indexation est l'indirection (addr[0] est, par sp�cification, identique � *addr), et le regroupement rend l'adresse exacte lue visible au point d'acc�s. Nous nous attendons � ce que ce type de choix soit codifi� dans les directives de codage non s�curis� au fil du temps.

Les violations sont des erreurs de compilation, pas des avertissements. Le mod�le n'est pas un � syst�me bas� sur la confiance �. Prenons l'exemple de Marshal.ReadByte ci-dessus : il est marqu� comme non s�curis� car son impl�mentation d�r�f�rence un pointeur opaque fourni par l'appelant. Dans le nouveau mod�le, il continuera d'�tre marqu� comme non s�curis� car il transf�re l'obligation de validit� du pointeur aux appelants. Cette obligation �tait auparavant comprise par convention. Le compilateur exige d�sormais que Marshal.ReadByte expose cette obligation sous forme de contrat.

Propagation et suppression

Le syst�me de marquage de s�curit� mis en place par Rust constitue un bon guide en mati�re de propagation et de suppression. C# 16 adopte la m�me approche et la m�me syntaxe. Le mot-cl� unsafe est utilis� de deux mani�res. La premi�re consiste en un bloc unsafe interne qui encapsule une op�ration non s�curis�e, g�n�ralement due � l'appel d'une autre m�thode non s�curis�e et/ou � la d�r�f�rence d'un pointeur. La seconde consiste en un marqueur de signature unsafe externe qui d�finit un contrat d'appel.

Pour propager l'ins�curit� � l'appelant, le d�veloppeur ajoute unsafe � la signature du membre ; pour supprimer l'ins�curit� en tant que d�tail d'impl�mentation, il omet unsafe. La pr�sence ou l'absence de unsafe dans une signature de membre (pour les m�thodes comportant un bloc unsafe interne) constitue le signal du compilateur pour la propagation ou la suppression. La propagation transmet l'ins�curit� � l'appelant sup�rieur, tandis que la suppression limite l'ins�curit� en offrant une interface compatible avec les appelants s�rs.

Mod�le C# 1.0

C# 1.0 utilise unsafe sur un type ou un membre pour signifier � contexte non s�curis� � partir de ce point �. Cela n�informe ni ne modifie le contrat d�appel. Les pointeurs constituent le seul m�canisme de propagation en C# 1.0. inner unsafe peut �tre utilis� pour restreindre la port�e de la non-s�curit�.

Commen�ons par un code qui est valide aujourd�hui, dans le mod�le C# 1.0.

Code:

1
2
3
4
5
6
void Caller()
{
    M();
}
 
unsafe void M() { }

Caller peut appeler unsafe M sans aucune formalit�.

La raison est double :

- unsafe est utilis� pour cr�er un bloc inner unsafe pour l�ensemble de la m�thode, et non pour d�finir un contrat d�appelant.
- M n�expose pas de pointeurs, et ne propage donc pas l�ins�curit�.

Cet exemple est analogue � ReadByte. Caller pourrait appeler ReadByte aussi librement qu'il appelle M. Il ne pourrait pas appeler Encoding.GetString de la m�me mani�re en raison de l'utilisation de pointeurs.

Nous devons critiquer le mod�le existant pour comprendre pourquoi nous nous en �loignons. Les r�les et responsabilit�s de M et de Caller ne sont sp�cifi�s que par convention. Il n'existe aucune norme concernant les pr�occupations de s�curit� ou les obligations que M devrait communiquer � Caller, ni sur la mani�re dont Caller r�pond aux attentes de ses appelants en mati�re de s�curit�. En bref, il n'existe aucun syst�me global qui pousse les d�veloppeurs vers une s�curit� r�elle ou qui permette un audit simple. La s�curit� est actuellement assur�e par des ing�nieurs qualifi�s qui savent d�finir les obligations et les risques, sans l'aide du compilateur.

Mod�le C# 16

Le nouveau mod�le utilise la cl� unsafe dans la signature d'une m�thode comme m�canisme de propagation vers l'appelant. L'absence de la cl� unsafe sert � indiquer une suppression.

La m�thode Caller de l'exemple pr�c�dent devrait �tre adapt�e pour devenir soit Caller1 , soit Caller2 ci-dessous.

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
/// 
/// Caller must satisfy obligation 1
/// 
unsafe void Caller1()
{
    unsafe
    {
        // SAFETY: Obligation is passed to caller.
        M();
    }
}
 
void Caller2()
{
    if (/* obligation 1 not satisfied */) throw new Exception();
 
    unsafe
    {
        // SAFETY: obligation 1 is discharged by the check above
        M();
    }
}
 
/// 
/// Caller must satisfy obligation 1
/// 
unsafe void M() { }

M et Caller1 propagent toutes deux l'ins�curit� � leurs appelants. Caller2 supprime l'ins�curit� de ses appel�s et constitue une m�thode de limite unsafe. L'une ou l'autre forme constitue un remplacement valable pour Caller. Le d�veloppeur d�cide laquelle est appropri�e en fonction de la possibilit� ou de l'opportunit� de valider l'obligation 1. Si les obligations de l'appelant subsistent, alors Caller1 est le bon choix. Le choix entre propagation et suppression n'est pas impos� (ni sugg�r�) par le compilateur, mais n�cessite un jugement prudent.

Caller1 comporte deux marqueurs unsafe par conception : le marqueur externe projette le contrat de l'appelant, tandis que le marqueur interne d�limite la port�e des op�rations unsafe. � l'int�rieur d'un membre unsafe, omettre le bloc non s�curis� interne lors d'une op�ration non s�curis�e entra�ne une erreur de compilation ; le marqueur de signature n'�tablit plus � lui seul un contexte non s�curis�. Cette structure de propagation externe / port�e interne correspond � unsafe fn / unsafe { } de Rust et � @unsafe / unsafe expr de Swift.

Caller2 est � safe-callable �, n�imposant aucune obligation � ses appelants et ne n�cessitant aucun bloc unsafe � leurs points d�appel.

Le mod�le s�applique � tout appelant. L�exemple ci-dessus illustre des appelants du m�me type. Le mod�le s�applique de mani�re uniforme � tous les types, projets et paquets. Il s�applique �galement aux g�n�rateurs de code source. Aucun m�canisme d�exclusion par port�e n�est pr�vu.

L'application se fait uniquement au moment de la compilation. Le mod�le n'introduit aucune nouvelle v�rification d'ex�cution et n'a aucun impact sur les performances ; les v�rifications d'ex�cution existantes qui entra�nent des exceptions telles que IndexOutOfRangeException et ArgumentNullException restent inchang�es.

Les biblioth�ques d'ex�cution .NET adopteront ce mod�le. Cela est n�cessaire en tant que base du mod�le pour les appelants. L'utilisation d'une biblioth�que qui a adopt� ce mod�le n'oblige pas votre projet � l'adopter, et vice versa. Le comportement inter-assemblages d�pend du c�t� qui a opt� pour l'activation :

- Appelant ayant opt�, appel� ayant opt� (Opted-in caller, opted-in callee). Le nouveau mod�le. Les marqueurs unsafe de l'appel� sont transmis via les m�tadonn�es, et l'appelant doit encapsuler les appels dans un bloc unsafe { } ; sans cela, l'appel g�n�re une erreur de compilation.

- Appelant ayant opt�, appel� n'ayant pas opt� (h�rit�) (Opted-in caller, non-opted-in (legacy) callee). Mode Compat. Le compilateur traite tout membre de l'appel� dont la signature contient un type pointeur comme unsafe, ce qui n�cessite un bloc unsafe { } englobant l'appel. Les surfaces non s�curis�es non pointeur (param�tres IntPtr/nint, signatures P/Invoke, etc.) ne sont pas signal�es, car l'assembly h�rit� ne contient pas de m�tadonn�es permettant de les distinguer. Le mode Compatibilit� emp�che une � baisse de s�curit� � o� les API non s�curis�es d�un package h�rit� perdraient silencieusement leur propagation non s�curis�e pilot�e par des pointeurs lorsque le nouveau mod�le est activ�.

- Appelant n'ayant pas opt�, appel� ayant opt� (Non-opted-in caller, opted-in callee). Aucune application des marqueurs unsafe du nouveau mod�le ; l�appelant h�rit� ne peut pas les interpr�ter. Les r�gles de pointeurs h�rit�es de C# 1.0 s'appliquent toujours : un appel� qui expose un type de pointeur dans sa signature exige toujours que l'appelant h�rit� se trouve dans un contexte unsafe. La nouveaut� r�side dans les m�thodes non s�curis�es du nouveau mod�le qui ne comportent pas de types de pointeurs dans leur signature (par exemple, unsafe byte ReadByte(IntPtr, int)). Celles-ci deviennent appelables � partir de code s�curis� h�rit�.

La migration des biblioth�ques d'ex�cution est d�j� en cours : l'�tiquette � reduce-unsafe � suit la liste des tickets de pull (PR) supprimant le code non s�curis� des biblioth�ques, y compris des remplacements comme le #127394 (remplacement de MemoryMarshal.Read/Write par des �quivalents BitConverter) et le #127485 (suppression du code non s�curis� de IBinaryInteger.TryReadBigEndian). Cette migration montre �galement que le code industriel peut �tre converti en mod�les s�curis�s. Votre code non s�curis� le peut probablement aussi.

Pour r�sumer les changements par rapport � C# 1.0 :

- Le mot-cl� unsafe sur la signature d'un membre d�finit d�sormais un contrat vis-�-vis de l'appelant qui propage l'ins�curit� vers le haut de l'arborescence d'appel. Dans C# 1.0, il servait uniquement � �tablir un contexte non s�curis�.

- Un bloc unsafe est obligatoire � chaque appel � un membre non s�curis�.

Comparaison entre les langages : propagation

Les diff�rences entre C#, Rust et Swift sont � la fois subtiles et instructives. C# 16 ne propage l'ins�curit� que lorsque le mot-cl� unsafe appara�t sur le membre ; les types de pointeurs et autres param�tres de type unsafe ne se propagent pas d'eux-m�mes. Rust se comporte de la m�me mani�re : un param�tre *const u8 sur une fonction fn simple ne propage rien. Swift est l'exception : tout type @unsafe apparaissant dans une signature rend implicitement la d�claration @unsafe, en plus de l'attribut explicite @unsafe.

Le mod�le implicite de Swift conduit � la n�cessit� d�utiliser @safe comme option d�exclusion largement applicable pour les API qui encapsulent l�ins�curit� (par exemple, Array.withUnsafeBufferPointer). C# et Rust incluent tous deux une forme de s�curit� positive restreinte pour l�interop�rabilit� (FFI), mais pour des raisons diff�rentes. La fonction safe fn de Rust � l�int�rieur d�un bloc extern non s�curis� est une red�finition de la valeur par d�faut. Le bloc est par d�faut non s�curis� et safe permet d�exclure une d�claration individuelle, de mani�re analogue � @safe de Swift. Le safe extern de C# 16 pour les d�clarations LibraryImport n�est pas une red�finition. Il s�agit d�une d�claration concernant l�ensemble de la d�claration et elle est requise car le langage privil�gie les marquages explicites et ne permet pas � un d�veloppeur de laisser la s�curit� d�une d�claration �trang�re implicite.

Chaque m�thode partielle LibraryImport doit �tre marqu�e comme safe ou unsafe :

Code:

1
2
3
4
5
[LibraryImport("libc")]
internal static safe partial int getpid();
 
[LibraryImport("libc", StringMarshalling = StringMarshalling.Utf8)]
internal static unsafe partial nint strlen(byte* str);

getpid n�a pas de param�tres et renvoie une primitive ; l�auteur certifie que l�appel est correct et que les appelants peuvent l�utiliser sans crainte. strlen prend un pointeur brut que le code natif d�r�f�rencera ; l�auteur n�a aucun moyen de s�acquitter de cette obligation � la limite, donc la d�claration se propage comme unsafe et un bloc nomme l�obligation de l�appelant. Omettre les deux modificateurs entra�ne une erreur de compilation � le d�veloppeur doit faire un choix.

Examinons un exemple de propagation. Un court programme Rust (�dition 2024) d�clenche � la fois un avertissement unsafe_op_in_unsafe_fn (une op�ration non s�curis�e � l�int�rieur du corps d�une fonction non s�curis�e sans bloc unsafe interne) et une erreur E0133 (un appel � une fonction non s�curis�e depuis un contexte s�curis� sans bloc unsafe) :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
$ cat main.rs
/// # Safety
///
/// `bytes` must be non-null and point to at least one readable byte.
pub unsafe fn first_byte(bytes: *const u8) -> u8 {
    // No inner `unsafe { }`: warns under `unsafe_op_in_unsafe_fn` (edition 2024).
    *bytes
}
 
fn main() {
    let data = [42u8];
    // No `unsafe { }` around the call: hard error E0133.
    let value = first_byte(data.as_ptr());
    println!("{value}");
}
 
$ cargo build
   Compiling unsafe_demo v0.1.0 (/private/tmp/unsafe-demo)
warning[E0133]: dereference of raw pointer is unsafe and requires unsafe block
 --> src/main.rs:6:5
  |
6 |     *bytes
  |     ^^^^^^ dereference of raw pointer
  |
  = note: raw pointers may be null, dangling or unaligned; they can violate aliasing rules and cause data races: all of these are undefined behavior
note: an unsafe function restricts its caller, but its body is safe by default
 --> src/main.rs:4:1
  |
4 | pub unsafe fn first_byte(bytes: *const u8) -> u8 {
  | ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
  = note: for more information, see //doc.rust-lang.org/edition-guide/rust-2024/unsafe-op-in-unsafe-fn.html>
  = note: `#[warn(unsafe_op_in_unsafe_fn)]` (part of `#[warn(rust_2024_compatibility)]`) on by default
 
error[E0133]: call to unsafe function `first_byte` is unsafe and requires unsafe block
  --> src/main.rs:12:17
   |
12 |     let value = first_byte(data.as_ptr());
   |                 ^^^^^^^^^^^^^^^^^^^^^^^^^ call to unsafe function
   |
   = note: consult the function's documentation for information on how to avoid undefined behavior
 
For more information about this error, try `rustc --explain E0133`.
warning: `unsafe_demo` (bin "unsafe_demo") generated 1 warning
error: could not compile `unsafe_demo` (bin "unsafe_demo") due to 1 previous error; 1 warning emitted

Cette exp�rience est tr�s similaire � ce que nous avons pr�vu. La principale diff�rence est que ces deux cas seront consid�r�s comme des erreurs dans C# 16.

En r�sum�, les codes C# et Rust privil�gient des r�gles explicites simples et n�cessitent sans doute moins de connaissances du domaine. Un exemple typique est qu�il est raisonnable d�utiliser grep comme outil d�audit de s�curit� avec C# 16 et Rust, car les mots-cl�s explicites agissent comme des rep�res auxquels les requ�tes peuvent facilement s�accrocher.

Opt-in au niveau du projet

Le mod�le de s�curit� de C# 16 comporte deux commutateurs au niveau du projet. Ils sont ind�pendants et ont des objectifs diff�rents.

Le premier commutateur est une nouvelle propri�t� d'activation (dont le nom d�finitif sera annonc� avec la pr�version de .NET 11). Lorsqu'il est d�sactiv�, les r�gles h�rit�es de C# 1.0 continuent de s'appliquer ; lorsqu'il est activ�, les nouvelles r�gles � caller-unsafe � s'appliquent. Ce commutateur d�termine ce qui est consid�r� comme non s�curis� et comment cela se propage.

Le deuxi�me commutateur est la propri�t� existante . Elle est d�finie par d�faut sur false (dans toutes les versions de C#) et contr�le chaque occurrence du mot-cl� unsafe dans le code source du projet : signatures de membres, blocs internes, champs et d�clarations safe extern selon les nouvelles r�gles. L'appel d'une API non s�curis�e depuis un autre projet est pris en compte, car le site d'appel n�cessite un bloc interne unsafe { }. Ainsi, un projet avec les param�tres par d�faut ne peut utiliser aucune API non s�curis�e.

Ces deux propri�t�s se combinent comme suit :

- Nouvelle propri�t� activ�e, d�sactiv�e (par d�faut). Il s'agit de la configuration la plus s�re. Le projet adh�re au nouveau mod�le et n'autorise aucun code non s�curis�. Vous savez que votre code n'appelle pas Marshal.ReadByte ni aucun autre membre non s�curis�.

- Nouvelle propri�t� activ�e, activ�e. Le projet adh�re au nouveau mod�le et autorise le code non s�curis�.

- Nouvelle propri�t� d�sactiv�e, d�sactiv�. L'ancien mod�le continue de s'appliquer. Le projet ne peut pas utiliser de types de pointeurs.

- Nouvelle propri�t� d�sactiv�e, activ�. L'ancien mod�le continue de s'appliquer. Le projet peut utiliser des types de pointeurs.

Nous souhaitons que tout le monde passe au nouveau mod�le. Nous pr�voyons �galement que, avec le temps, moins de projets activeront . C'est ce que nous faisons avec notre propre code.

Pour faciliter cette transition, nous pr�voyons de fournir un correcteur de dotnet format qui effectuera une migration au mieux de ses capacit�s sur les projets qui n'ont pas encore activ� la nouvelle propri�t� : en encapsulant les sites d'appel non s�curis�s dans des blocs unsafe { }, en d�pla�ant le modificateur unsafe des types vers leurs membres, et en effectuant d'autres r��critures m�caniques similaires. Le correcteur ne peut pas d�duire les obligations de s�curit� ni �crire de blocs ; ce travail reste � la charge du d�veloppeur. Il s'agit d'un point de d�part permettant de compiler le code selon les nouvelles r�gles, et non d'une migration achev�e.

La question centrale concernant les agents g�n�rateurs de code est de savoir � qui incombe la responsabilit� de d�terminer si du code non s�curis� a �t� �crit. Avec le nouveau mod�le, c'est celle du compilateur. En supposant que vous n'ayez pas d�fini AllowUnsafeBlocks=true, le compilateur refusera de compiler tout code non s�curis�. Aucune r�vision de code ne peut �galer l'efficacit� d'une erreur de compilation. L'audit de la s�curit� de la m�moire passe de l'inspection de chaque diff � la v�rification d'une seule propri�t� de projet.

Comparaison entre les langages : valeurs par d�faut

Les diff�rences sont ici aussi subtiles et importantes. Nous pouvons situer les trois langages selon deux axes de s�curit� : la propagation stricte (la mani�re dont l�ins�curit� se propage et ce qui est consid�r� comme dangereux) et l�interdiction pure et simple du code dangereux. Pour chaque axe, la posture la plus s�re est soit la valeur par d�faut, soit disponible en option.

C# 16 activera le mod�le strict avec le nouveau mot-cl� safety. AllowUnsafeBlocks=false reste la valeur par d�faut. Sous le nouveau mod�le, il effectue un travail encore plus lourd, car l'ensemble des actions non s�curis�es qu'il contr�le est beaucoup plus vaste.

Rust ne dispose que d�un seul mod�le de s�curit�, un mod�le strict. Le compilateur autorise par d�faut l�utilisation de unsafe dans n�importe quel crate et n�cessite l�utilisation de la directive #![forbid(unsafe_code)] pour le d�sactiver.

Swift propose �galement un mode strict en option (-strict-memory-safety, SE-0458), qui peut �tre d�fini par fichier ou par module pour transformer les dangers implicites en diagnostics.

Ces comparaisons ne sont pas tout � fait �quivalentes, car elles sont multidimensionnelles. Rust a la position par d�faut la plus stricte. Notre point de vue s�aligne sur le continuum de s�curit� m�moire : des valeurs par d�faut plus strictes sont pr�f�rables. Notre intention est de faire du nouveau mod�le de s�curit� de C# la nouvelle norme. Nous commencerons par l�activer avec les mod�les. Il est plus simple pour nous d�introduire un mod�le de s�curit� plus strict �tant donn� que le code non s�curis� est d�j� interdit par d�faut, et nous nous attendons � une bonne adoption pour cette raison.

Documentation relative � la s�curit�

Il est facile d�interpr�ter le terme � non s�curis� � au sens litt�ral, mais cela pr�te � confusion. Il signifie � d�sactiver les m�canismes de s�curit� �. Le compilateur sait que le code s�curis� respecte un mod�le de s�curit� d�fini, contrairement au code non s�curis�. Avec le code non s�curis�, c�est au d�veloppeur qu�incombe la responsabilit� de s�informer. Pour s�informer, il faut commencer par lire la documentation d�di�e � la s�curit�. Un code non s�curis� correctement r�dig� documente les obligations de l'appelant : les conditions que celui-ci doit remplir pour que le code se comporte correctement.

Un code non s�curis� dont la documentation est manquante ou mal r�dig�e n'est pas s�r � appeler, car l'appelant est laiss� dans l'incertitude. Les auditeurs de code y pr�tent une attention particuli�re. C'est d�j� le cas dans la communaut� Rust : Google et Mozilla.

Un analyseur signalera les blocs /// manquants.

Commentaires de s�curit� Rust

Nous nous appuierons sur Rust pour les exemples canoniques, car ce langage est bien �tabli. Rust utilise des commentaires de s�curit� pour d�montrer que le code non s�curis� est correct.

Une fonction Rust non s�curis�e, as_bytes_mut :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
/// Converts a mutable string slice to a mutable byte slice.
///
/// # Safety
///
/// The caller must ensure that the content of the slice is valid UTF-8
/// before the borrow ends and the underlying `str` is used.
///
/// Use of a `str` whose contents are not valid UTF-8 is undefined behavior.
///
/// ...
pub unsafe fn as_bytes_mut(&mut self) -> &mut [u8] {
    // SAFETY: the cast from `&str` to `&[u8]` is safe since `str`
    // has the same layout as `&[u8]` (only libstd can make this guarantee).
    // The pointer dereference is safe since it comes from a mutable reference which
    // is guaranteed to be valid for writes.
    unsafe { &mut *(self as *mut str as *mut [u8]) }
}

Clippy applique cette convention. Une fonction non s�curis�e sans section # Safety d�clenche le lint missing_safety_doc :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
$ cat main.rs
#![deny(clippy::missing_safety_doc)]
 
pub unsafe fn first_byte(bytes: *const u8) -> u8 {
    unsafe { *bytes }
}
 
fn main() {
    let data = [42u8];
    let value = unsafe { first_byte(data.as_ptr()) };
    println!("{value}");
}
 
$ cargo clippy
    Checking unsafe_demo v0.1.0 (/private/tmp/unsafe-demo)
error: unsafe function's docs are missing a `# Safety` section
 --> src/main.rs:3:1
  |
3 | pub unsafe fn first_byte(bytes: *const u8) -> u8 {
  | ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
  |
  = help: for further information visit https://rust-lang.github.io/rust-clippy/rust-1.95.0/index.html#missing_safety_doc
note: the lint level is defined here
 --> src/main.rs:1:9
  |
1 | #![deny(clippy::missing_safety_doc)]
  |         ^^^^^^^^^^^^^^^^^^^^^^^^^^
 
error: could not compile `unsafe_demo` (bin "unsafe_demo") due to 1 previous error

Si vous d�butez avec Rust, oui, il dispose de commentaires de documentation ///. Il dispose �galement d�attributs, qui sont utilis�s pour les balises de s�curit� propos�es.

Le bloc /// # Safety au-dessus de la fonction documente les obligations formelles et contractuelles de l�appelant. Il incombe � l�appelant de lire les commentaires de s�curit�. N�gliger de le faire peut entra�ner l��criture d�un code non s�curis� incorrect aux cons�quences ind�finies. Si des probl�mes surviennent, la responsabilit� incombe � l�appelant. C�est pourquoi nous qualifions cette fonctionnalit� de � non s�curis�e pour l�appelant �.

Les commentaires /// sont directement copi�s dans la documentation publique de Rust pour as_bytes_mut. Les commentaires de s�curit� sont extraits du code et plac�s sur un portail public o� les appelants peuvent les consulter. Cela montre clairement leur importance et explique pourquoi ils doivent �tre distincts des commentaires habituels.

L'exemple comprend �galement un deuxi�me type de commentaire de s�curit�, plus interne. Les notes // SAFETY: � l'int�rieur du corps de la fonction s'adressent aux d�veloppeurs ou aux auditeurs du code ; elles d�crivent les hypoth�ses de s�curit�, et non les obligations de l'appelant. Le compilateur ne lit pas, n'exige pas et ne prend pas en compte ces commentaires. Il s'agit d'une convention.

Ces deux styles de commentaires sont importants. Ensemble, ils racontent une histoire � double facette sur la s�curit�, ancr�e dans le graphe d'appel.

Citation:

Avec le bloc unsafe, nous affirmons � Rust que nous avons lu la documentation de la fonction, que nous comprenons comment l'utiliser correctement et que nous avons v�rifi� que nous respectons le contrat de la fonction.

Cet extrait du Rust Book montre clairement que la s�curit� d�pend d'un processus qui commence par les diagnostics du compilateur mais ne s'arr�te pas l�. Le lint Rust correspondant (unsafe_op_in_unsafe_fn) �tait autoris� par d�faut dans les �ditions pr�c�dentes, de sorte que les blocs unsafe internes manquants �taient accept�s sans avertissement. L'�dition 2024 l'a promu au statut � warn-by-default �, un compromis de compatibilit� qui permet aux crates existantes de continuer � se compiler au-del� de la limite entre les �ditions. C# 16 n'a pas h�rit� de cette tradition et en fait une erreur de compilation.

Commentaires de s�curit� C#

C# utilise deux styles de commentaires de s�curit�, illustr�s ici dans la maquette ReadByte :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
/// Reads a single byte from unmanaged memory.
/// 
/// The sum of  and  must address a byte
/// the caller is permitted to read.
/// 
public static unsafe byte ReadByte(IntPtr ptr, int ofs)
{
    try
    {
        byte* addr = (byte*)ptr;
        unsafe
        {
            // SAFETY: relies on caller obligation.
            return addr[ofs];
        }
    }
    catch (NullReferenceException)
    {
        throw new AccessViolationException();
    }
}

Le bloc /// au-dessus de la signature constitue le contrat formel de l'appelant. Le commentaire // SAFETY: � l'int�rieur du corps est une note interne indiquant sur quoi repose l'op�ration non s�curis�e.

La signature seule, unsafe byte ReadByte(IntPtr, int), vous indique la forme, mais pas le contrat de s�curit�. Le bloc /// constitue le contrat, c'est pourquoi un analyseur signalera son absence. La le�on � retenir est que conna�tre la forme d'une API non s�curis�e est n�cessaire mais pas suffisant pour �crire un code correct. L'�criture de code non s�curis� n�cessite des lunettes de s�curit�.

Une seule obligation r�siduelle est mentionn�e : ptr + ofs doit pointer vers un octet lisible. L'appelant doit s'en acquitter. Le mot-cl� unsafe sur la signature est ce qui met en �vidence cette obligation pour les appelants. Le commentaire // SAFETY: pr�cise sur quoi repose la d�r�f�rence : le fait que l'appelant dispose de garde-fous de s�curit� pour cette obligation.

Consid�rez les �tats dans lesquels un param�tre IntPtr peut se trouver lorsqu'un appelant le transmet :

- IntPtr.Zero (null) : la d�r�f�rence se heurte aux pages de protection contre les valeurs nulles du runtime et se traduit par une exception NullReferenceException, que le bloc catch convertit en AccessViolationException. Supprimer le bloc catch ne modifierait pas la s�curit�, mais uniquement le type d'exception.

- Un pointeur vers de la m�moire non mapp�e (non initialis�e, lib�r�e ou contenant une valeur al�atoire) : la d�r�f�rence provoque une violation d'acc�s mat�riel. Sur la plupart des plateformes, cela met fin au processus ; le bloc catch peut m�me ne pas s'ex�cuter.

- Un pointeur vers de la m�moire mapp�e dont l'appelant n'est pas propri�taire (le tampon de quelqu'un d'autre, le tas du GC, un segment de code) : la d�r�f�rence peut r�ussir. Les pages mapp�es peuvent tout de m�me �tre illisibles (les pages de garde, par exemple), auquel cas le comportement correspond au point pr�c�dent. En cas de r�ussite, ReadByte renvoie un octet arbitraire de la m�moire avec une valeur arbitraire. Aucune exception, aucun avertissement. Il s'agit l� d'un r�sultat UB classique ; le programme continue en se basant sur des hypoth�ses corrompues. Dans le pire des cas, il lit de la m�moire qui est interpr�t�e comme une valeur valide pour le programme.

- Un pointeur dont l'appelant sait avec certitude qu'il pointe vers un octet lisible : fonctionne comme pr�vu.

Le try/catch g�re le premier cas, �choue de mani�re non gracieuse dans le deuxi�me et est invisible dans le troisi�me. Rien de tout cela n'est de la validation. Le contrat remonte jusqu'� l'appelant, o� les informations concernant l'origine, la longueur et la dur�e de vie du tampon peuvent �tre utilis�es pour exclure les �tats dangereux. C'est le bloc /// qui rend ce contrat visible. L'appelant doit comprendre ces cas et s'en pr�munir.

Garde de s�curit�

La documentation �nonce les obligations. Les gardes les remplissent. Ce mod�le est particuli�rement important � la fronti�re de l'ins�curit�, l� o� un d�veloppeur atteste que le code non s�curis� a �t� mis en conformit� avec la s�curit� fournie par le compilateur. C'est �galement � cette fronti�re que la r�vision doit commencer. Avec une bonne documentation comme guide, le r�viseur peut d�terminer si le code est conforme.

On pourrait se demander pourquoi les m�thodes non s�curis�es n�incluent pas suffisamment de v�rifications if pour supprimer la n�cessit� des obligations de l�appelant. Pour ReadByte, aucune v�rification if � l�int�rieur de la m�thode ne peut valider qu�un IntPtr fourni par l�appelant pointe vers une m�moire lisible : le runtime ne sait tout simplement pas ce que l�appelant a allou�, o�, ni pour combien de temps. Les appelants sont les seuls � pouvoir d�terminer l�ensemble minimal de v�rifications qui maintiennent la s�curit� tout en maximisant les performances.

Remarque : il n�existe pas de nom standard pour ces m�thodes/fonctions de fronti�re. La documentation Rust les appelle � �l�ments s�rs �. Cet article les appelle � m�thodes de fronti�re non s�res � : des m�thodes situ�es � la fronti�re entre le code s�r et le code non s�r, o� la non-s�curit� est supprim�e. Le terme � non s�r � est d�lib�r� : ces m�thodes conservent toutes les capacit�s dangereuses des m�thodes marqu�es � unsafe � ; elles ne les propagent simplement pas � leurs appelants.

Garde de s�curit� Rust

Autre exemple en Rust, str.split_at :

Code:

1
2
3
4
5
6
7
8
9
pub fn split_at(&self, mid: usize) -> (&str, &str) {
    // is_char_boundary checks that the index is in [0, .len()]
    if self.is_char_boundary(mid) {
        // SAFETY: just checked that `mid` is on a char boundary.
        unsafe { (self.get_unchecked(0..mid), self.get_unchecked(mid..self.len())) }
    } else {
        slice_error_fail(self, 0, mid)
    }
}

Les fonctions de limite non s�res ne comportent g�n�ralement que des commentaires // SAFETY: ; elles n�imposent pas d�obligations propres. Le style formel /// est r�serv� aux m�thodes unsafe, dont la limite se charge alors de remplir les obligations. Les fonctions qui propagent doivent �tre marqu�es comme unsafe.

La v�rification if self.is_char_boundary(mid) dans split_at est une garde qui garantit la s�curit� du code non s�r qu�elle appelle. Il garantit que la division s'effectue � une limite de caract�re, car les caract�res Unicode peuvent �tre multioctets. Si ce test �choue, le programme entre en panique via slice_error_fail. Une panique provoquera le plantage du programme afin d'emp�cher tout comportement ind�fini.

Un programme qui entre en panique pour �viter un comportement ind�fini est bien plus fiable qu'un programme qui laisse ce comportement se produire.

Garde de s�curit� en C#

Le m�me mod�le de d�limitation que dans Rust s'applique en C# : m�me convention // SAFETY:, m�me absence de marqueur � unsafe � dans la signature.

String.CopyTo :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
// Converts a substring of this string to an array of characters. Copies the
// characters of this string beginning at position sourceIndex and ending at
// sourceIndex + count - 1 to the character array buffer, beginning
// at destinationIndex.
//
public void CopyTo(int sourceIndex, char[] destination, int destinationIndex, int count)
{
    ArgumentNullException.ThrowIfNull(destination);
 
    ArgumentOutOfRangeException.ThrowIfNegative(count);
    ArgumentOutOfRangeException.ThrowIfNegative(sourceIndex);
    ArgumentOutOfRangeException.ThrowIfGreaterThan(count, Length - sourceIndex, nameof(sourceIndex));
    ArgumentOutOfRangeException.ThrowIfGreaterThan(destinationIndex, destination.Length - count);
    ArgumentOutOfRangeException.ThrowIfNegative(destinationIndex);
 
    unsafe
    {
        // SAFETY: the bounds checks above ensure that `count` characters
        // starting at `sourceIndex` are in range of this string, and that
        // `count` characters starting at `destinationIndex` fit in `destination`.
        Buffer.Memmove(
            destination: ref Unsafe.Add(ref MemoryMarshal.GetArrayDataReference(destination), destinationIndex),
            source: ref Unsafe.Add(ref _firstChar, sourceIndex),
            elementCount: (uint)count);
    }
}

Chaque appel ThrowIf* ici est une mesure de s�curit� m�moire. Chacun d'entre eux garantit une invariante que l'appel brut Buffer.Memmove suppose :

- ThrowIfNull(destination) : sans cela, MemoryMarshal.GetArrayDataReference(null) est UB.

- ThrowIfNegative(count) : sans cela, (uint)count convertit silencieusement une valeur n�gative en un elementCount �norme, et la copie hors limites qui en r�sulte est UB.

- ThrowIfNegative(sourceIndex) et ThrowIfNegative(destinationIndex) : sans elles, Unsafe.Add(ref …, negativeIndex) fait sortir la r�f�rence de la zone de stockage, et la lecture ou l'�criture qui en r�sulte est UB.

- Les deux v�rifications ThrowIfGreaterThan s�ajoutent aux v�rifications n�gatives ci-dessus (et s�appuient sur l�invariance d�ex�cution selon laquelle Length est dans [0, int.MaxValue], de sorte que Length - sourceIndex ne d�borde pas) pour limiter count par rapport � la capacit� restante de source et de destination. Sans elles, la copie peut d�passer la fin de l�un ou l�autre des tampons, et la lecture ou l��criture qui en r�sulte est UB.

Les v�rifications s�encha�nent. Chacune n�est suffisante que parce que les pr�c�dentes ont d�j� �cart� certaines classes d�entr�es. Modifiez n�importe quel maillon de cette cha�ne (passez � un type d�index non sign�, ou modifiez ce que le runtime garantit concernant Length), et le raisonnement de s�curit� doit �tre red�fini.

Les m�thodes ThrowIf* sont l'�quivalent en C# des aides � la panique de Rust telles que slice_error_fail ; toutes deux provoquent le plantage du programme � la limite plut�t que de laisser un comportement ind�fini se produire, et toutes deux sont factoris�es en fonctions distinctes afin de maintenir les chemins froids hors du code chaud.

Champs unsafe

Les champs m�ritent une discussion. Un champ doit �tre Unsafe lorsque son type d�clar� n'exprime pas une invariante que le type englobant maintient et dont le code en aval d�pend. La non-s�curit� r�side dans l'�cart entre ce que le syst�me de types voit et ce que le type englobant promet.

Le cas le plus simple est un champ contenant un pointeur natif. L'exemple ci-dessous est une maquette ; il ne provient pas de dotnet/runtime comme les autres exemples.

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
public class NativeBuffer : IDisposable
{
    /// 
    /// Must be null or point to a buffer of Length bytes.
    /// 
    private unsafe byte* _ptr;
    public int Length { get; }
 
    public NativeBuffer(int length)
    {
        ArgumentOutOfRangeException.ThrowIfNegative(length);
        unsafe
        {
            // SAFETY: NativeMemory.Alloc throws OutOfMemoryException on failure rather than
            // returning null (unlike the malloc it wraps), so on return _ptr points to `length` bytes.
            _ptr = (byte*)NativeMemory.Alloc((nuint)length);
        }
        Length = length;
    }
 
    public byte ReadAt(int index)
    {
        ArgumentOutOfRangeException.ThrowIfNegative(index);
        ArgumentOutOfRangeException.ThrowIfGreaterThanOrEqual(index, Length);
        unsafe
        {
            ObjectDisposedException.ThrowIf(_ptr is null, this);
            // SAFETY: bounds checked above; null check just above; _ptr therefore points to Length bytes
            return _ptr[index];
        }
    }
 
    public void Dispose()
    {
        unsafe
        {
            // SAFETY: _ptr is null or was returned by NativeMemory.Alloc; Free accepts both
            NativeMemory.Free(_ptr);
            _ptr = null;
        }
    }
}

La classe est s�re � l'appel, le champ unsafe portant l'invariant de validit� au nom de l'interface publique. Length est une propri�t� automatique en lecture seule fix�e lors de la construction ; son immuabilit� constitue l'autre moiti� de l'invariant, puisque l'obligation de taille de _ptr est exprim�e en termes de Length. Si Length pouvait changer apr�s la construction, il faudrait un marqueur unsafe et un bloc sp�cifiques pour maintenir la coh�rence du couple. Dispose affaiblit d�lib�r�ment cet invariant de � valide � � � null ou valide � en �crivant null, ce qui explique pourquoi _ptr ne peut pas �tre en lecture seule readonly et pourquoi ReadAt v�rifie la pr�sence de null avant la d�r�f�rence. Le marqueur unsafe sur le champ permet de garder les deux �critures (l'allocation dans le constructeur et l'invalidation dans Dispose) v�rifiables en un seul endroit.

Un cas plus courant dans les biblioth�ques d'ex�cution est celui d'un champ dont le type d�clar� est correct mais moins sp�cifique que ce que la classe g�re r�ellement. Le document de conception donne une version simplifi�e de ce mod�le : une classe g�n�rique contient un champ Array qui doit toujours contenir un T[]. Array est l'objet des types de tableaux ; chaque T[] est un Array, donc d�clarer le champ comme Array est correct du point de vue du type, et cela �vite les co�ts de sp�cialisation g�n�rique. Le syst�me de types C# permet d'affecter n'importe quel tableau � ce champ, alors que la classe garantit toujours exactement T[]. Le risque r�side dans cet �cart : le syst�me de types ne peut pas voir l'invariant plus strict, et la classe est charg�e de le respecter.

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
public class ArrayWrapper
{
    /// 
    /// Must always hold a value whose runtime type is T[].
    /// 
    private readonly unsafe Array _array;
 
    public ArrayWrapper(T[] items)
    {
        ArgumentNullException.ThrowIfNull(items);
        unsafe
        {
            // SAFETY: items is statically T[], so the field invariant holds.
            _array = items;
        }
    }
 
    public T GetItem(int index)
    {
        unsafe
        {
            // SAFETY: _array is always a T[] per the field's  block
            var typedArray = Unsafe.As[]>(_array);
            return typedArray[index];
        }
    }
}

Le mod�le est le m�me que celui de NativeBuffer : un champ unsafe avec un invariant document�, des blocs non s�curis�s � la limite qui le lib�rent, et une interface publique pouvant �tre appel�e en toute s�curit�.

Rust travaille sur le m�me probl�me, et la proposition relative aux champs non s�curis�s utilise Vec comme cas d'�tude. Vec comporte une invariante selon laquelle les �l�ments � data[i] pour i < len sont initialis�s. Aujourd'hui, cette invariante n'existe que dans les commentaires et la documentation. Rien n'emp�che une m�thode (m�me priv�e) de d�synchroniser len et data dans un code enti�rement s�r :

Code:

1
2
3
4
5
6
7
8
9
10
11
pub struct Vec {
    data: Box<[MaybeUninit]>,
    len: usize,
}
 
impl Vec {
    // Safe code, but the next read is undefined behavior.
    pub fn evil(&mut self) {
        self.len += 2;
    }
}

La forme propos�e pour l'avenir int�gre l'invariance dans le syst�me de types en marquant les deux champs comme non s�curis�s :

Code:

1
2
3
4
5
6
struct Vec {
    // SAFETY: The elements `data[i]` for
    // `i < len` are in a valid state.
    unsafe data: Box<[MaybeUninit]>,
    unsafe len: usize,
}

Avec ce changement, toute �criture sur len ou data doit d�sormais s'effectuer � l'int�rieur d'un bloc unsafe ; evil ne se compile plus tel quel. Les deux champs sont v�rifi�s ensemble, au m�me endroit, par rapport au m�me contrat. C'est exactement le m�me avantage dont b�n�ficie NativeBuffer en associant un pointeur unsafe de type byte* _ptr � une longueur fixe, et dont b�n�ficie ArrayWrapper en associant readonly unsafe Array _array � la promesse toujours de type T[].

Vous pourriez dire que l'on peut toujours �crire evil avec unsafe et que cela aboutit toujours � un comportement ind�fini (UB). Oui. L'id�e g�n�rale est que le code unsafe est marqu� et facile � auditer. C'est le fondement de la s�curit� dans tous ces langages.

Quelques r�gles empiriques pour l�utilisation de unsafe sur les champs :

- Les �critures constituent la motivation principale. L�utilisation de unsafe sur le champ force chaque �criture dans un contexte v�rifiable o� le contrat est visible, �tablissant (au moins) la discipline entre membres qui pr�serve l�invariant. Par exemple, une �criture sur _ptr dans l�exemple NativeBuffer violerait Length.

- Les champs readonly r�pondent en grande partie au m�me besoin. Il est utile de consid�rer unsafe readonly comme le contrat plus une protection int�gr�e : unsafe nomme l�invariant, et readonly est la protection de s�curit� qui emp�che les �critures post-construction de le violer. Supprimez readonly et le contrat reste en place ; il doit simplement �tre respect� de la mani�re la plus difficile, en v�rifiant chaque site d'�criture. L'exemple ArrayWrapper ci-dessus est readonly unsafe pr�cis�ment pour cette raison. Rust converge vers la m�me forme via les axiomes de conception des champs unsafe : le marqueur reste, mais les op�rations qu'il contr�le (�critures, r�initialisation) sont exactement celles que l'immuabilit� emp�che d�j�.

- Private n'est pas un passe-droit. Il est tentant de supposer que, puisqu�un champ est priv�, on peut faire confiance aux m�thodes propres au type pour maintenir l�invariance. C��tait l�ancien mod�le de type unsafe. Dans le nouveau mod�le, l�interaction entre membres est elle-m�me une surface de contrat ; l��criture correcte d�une m�thode peut �tre annul�e par l��criture non coordonn�e d�une autre m�thode. La non-s�curit� consiste � prot�ger le contrat contre tout code susceptible de le violer, y compris le code au sein du type lui-m�me.

Guide de migration

La meilleure fa�on de comprendre le mod�le est de migrer du code existant vers celui-ci. C�est ce que fait l��quipe .NET � travers les biblioth�ques d�ex�cution. Choisissez une API unsafe, suivez-la jusqu�� un appelant, et d�terminez si la migration peut d�charger les obligations de l�appel� en ligne ou si elle doit les propager vers le haut. Chaque appelant est un emplacement candidat pour la limite ; la migration permet de d�terminer si c�est l� que la limite doit se situer.

Cette section est sp�culative. Le mod�le n�est pas finalis� et les biblioth�ques d�ex�cution n�ont pas encore �t� migr�es. Les exemples sont des hypoth�ses �clair�es, destin�es � montrer o� nous allons et ce que le nouveau mod�le implique pour le code existant.

Nous allons migrer dans cette section certaines m�thodes qui aboutissent � NativeMemory.Alloc et NativeMemory.Free. Voici � quoi ressemblent les deux m�thodes NativeMemory dans le nouveau mod�le :

Code:

1
2
3
4
5
6
7
8
9
10
public static void* Alloc(nuint byteCount);
 
/// 
/// The caller must ensure:
///
/// -  was returned by  (or a
///   compatible allocator) and has not already been freed.
/// - No live pointer or span aliases the storage at the time of this call.
/// 
public static unsafe void Free(void* ptr);

L'asym�trie est intentionnelle. Alloc devient s�r. Il renvoie un void*, mais le fait de d�tenir un pointeur n'est pas dangereux en soi ; le danger r�side dans la d�r�f�rence finale, que l'appelant encapsule. Ne pas lib�rer la m�moire entra�ne une fuite, pas un probl�me de s�curit�. (Alloc diff�re �galement de malloc en ce qu'il l�ve une exception OutOfMemoryException en cas d'�chec plut�t que de renvoyer null, de sorte que les appelants n'ont pas � v�rifier la valeur renvoy�e.) Free reste dangereux car il comporte de v�ritables conditions pr�alables : le pointeur doit �tre celui renvoy� par un allocateur compatible et ne pas avoir d�j� �t� lib�r�, et rien d�autre ne peut �tre un alias de la m�moire. Le bloc rend ces obligations visibles pour tous les appelants et r�viseurs.

Passons maintenant � un appelant. Voici une maquette du constructeur de FileVersionInfo sous le nouveau mod�le. Le constructeur analyse un blob d'informations de version natif pour le convertir en champs de type cha�ne et entier de cet objet (_companyName, _fileVersion, _fileMajor, etc.) ; l'allocation correspond simplement au tampon temporaire qui contient le blob pendant que GetVersionInfoForCodePage le lit.

Signature actuelle : private unsafe FileVersionInfo(string fileName). Elle est unsafe uniquement pour �tablir un contexte non s�curis�.

Voici la signature et l'impl�mentation mises � jour, accompagn�es de commentaires internes sur la s�curit�.

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
private FileVersionInfo(string fileName)
{
    _fileName = fileName;
 
    uint infoSize = Interop.Version.GetFileVersionInfoSizeEx(
        Interop.Version.FileVersionInfoType.FILE_VER_GET_LOCALISED, _fileName, out _);
    if (infoSize != 0)
    {
        unsafe
        {
            // SAFETY:
            // - bounds: `infoSize` is the size returned by GetFileVersionInfoSizeEx
            //   and is the same value passed to both Alloc and GetFileVersionInfoEx,
            //   so all reads through `memPtr` stay within the allocated range.
            // - lifetime: `memPtr` is freed in the finally before this constructor
            //   returns, and never escapes; every consumer (GetLanguageAndCodePage,
            //   GetVersionInfoForCodePage) is called from within this method and
            //   writes its results into this object's fields.
            void* memPtr = NativeMemory.Alloc(infoSize);
            try
            {
                if (Interop.Version.GetFileVersionInfoEx(
                    /* flags */ default, _fileName, 0U, infoSize, memPtr))
                {
                    uint lcp = GetLanguageAndCodePage(memPtr);
                    _ = GetVersionInfoForCodePage(memPtr, lcp.ToString("X8")) ||
                        (lcp != 0x040904B0 && GetVersionInfoForCodePage(memPtr, "040904B0")) ||
                        (lcp != 0x040904E4 && GetVersionInfoForCodePage(memPtr, "040904E4")) ||
                        (lcp != 0x04090000 && GetVersionInfoForCodePage(memPtr, "04090000"));
                }
            }
            finally
            {
                NativeMemory.Free(memPtr);
            }
        }
    }
}

Le constructeur constitue une limite de s�curit� solide. Les autres risques de s�curit� (les appels d'interop�rabilit� qui lisent via memPtr et l'appel � Free � la fin) sont g�r�s en ligne :

- Limites : une seule valeur infoSize est transmise depuis l'appel de requ�te de taille vers Alloc et vers chaque appel d'interop�rabilit� qui lit via memPtr ; les trois utilisations sont li�es entre elles par leur nom, de sorte que les lectures restent dans la plage allou�e.

- Dur�e de vie : le bloc try/finally garantit que Free s'ex�cute avant que le constructeur ne renvoie une valeur, m�me en cas d'exception provenant des appels d'interop�rabilit�. Le pointeur ne s'�chappe jamais ; chaque aide qui l'utilise est appel�e � l'int�rieur de cette m�thode, donc aucun alias ne survit au-del� de Free.

Pas de marqueur unsafe sur le constructeur, pas de bloc ; l'ins�curit� est enti�rement confin�e � l'int�rieur du corps. Les constructeurs unsafe sont possibles dans le nouveau mod�le (ils propagent l'obligation vers tout code qui instancie le type), mais celui-ci n'a pas besoin d'�tre unsafe.

Voici maintenant une maquette de FixedMemoryKeyBox :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
internal sealed class FixedMemoryKeyBox : SafeHandle
{
    /// 
    /// Must equal the byte size of the allocation pointed to by handle.
    /// 
    private readonly unsafe int _length;
 
    internal FixedMemoryKeyBox(ReadOnlySpan<byte> key) : base(IntPtr.Zero, ownsHandle: true)
    {
        void* memory;
        unsafe
        {
            // SAFETY:
            // - alloc:   NativeMemory.Alloc returns a pointer to key.Length writable bytes.
            // - span:    new Span(memory, key.Length) addresses exactly those bytes.
            // - lifetime: ownership of the pointer transfers to this SafeHandle
            //             via SetHandle below; ReleaseHandle frees the allocation when
            //             the ref-count reaches zero.
            // - _length: paired with the allocation made on this line.
            memory = NativeMemory.Alloc((nuint)key.Length);
            key.CopyTo(new Span<byte>(memory, key.Length));
            _length = key.Length;
        }
        SetHandle((IntPtr)memory);
    }
 
    /// 
    /// The returned span aliases storage owned by this SafeHandle.
    /// The caller must ensure:
    ///
    /// - the span is not used after this SafeHandle is disposed;
    /// - access is bracketed by  and
    ///    (or equivalent), so
    ///   disposal on another thread can't free the buffer mid-use.
    /// 
    internal unsafe ReadOnlySpan<byte> DangerousKeySpan
    {
        get
        {
            unsafe
            {
                // SAFETY:
                // - bounds: `_length` matches the allocation made in the ctor.
                // - lifetime: NOT discharged here; propagated to the caller
                //   via the  block above. The `Dangerous` prefix
                //   echoes that contract in the API name.
                return new ReadOnlySpan<byte>((void*)handle, _length);
            }
        }
    }
 
    internal TRet UseKey(TState state, Funcbyte>, TRet> func)
    {
        bool addedRef = false;
        unsafe
        {
            // SAFETY: AddRef holds the SafeHandle alive for the duration of
            // the callback, so `DangerousKeySpan` aliases live storage. The
            // span is not retained beyond `func`'s return.
            try
            {
                DangerousAddRef(ref addedRef);
                return func(state, DangerousKeySpan);
            }
            finally
            {
                if (addedRef)
                {
                    DangerousRelease();
                }
            }
        }
    }
 
    protected override bool ReleaseHandle()
    {
        unsafe
        {
            // SAFETY: SafeHandle's ref-counting guarantees no live span
            // aliases `handle` at this point; the new Span(handle, _length)
            // addresses the allocation made in the ctor.
            CryptographicOperations.ZeroMemory(new Span<byte>((void*)handle, _length));
            NativeMemory.Free((void*)handle);
        }
        return true;
    }
 
    public override bool IsInvalid => handle == IntPtr.Zero;
}

FixedMemoryKeyBox regroupe deux limites dans un seul type, illustrant les deux sens :

- DangerousKeySpan est un appelant unsafe. Bounds est lib�r� en ligne par l'invariance du champ _length. L' int est s�r en soi ; le probl�me de s�curit� r�side dans son couplage avec handle : ils forment une paire qui doit correspondre. La dur�e de vie n'est pas g�r�e. Le span fait r�f�rence � la m�moire d�tenue par le SafeHandle, et cette m�moire survit � l'appel de la propri�t� par conception. Le bloc �nonce deux obligations r�siduelles : ne pas survivre au SafeHandle, et encadrer l'acc�s avec DangerousAddRef/Release. Le compilateur ne peut imposer aucune de ces deux obligations. Le marqueur indique aux appelants qu'ils ont du travail � faire.

- UseKey est la limite de s�curit� construite par-dessus. Elle remplit l'obligation de dur�e de vie en encadrant le rappel avec DangerousAddRef/Release dans un try/finally. Le ReadOnlySpan<byte> pass� � func est s�r en vertu des r�gles de dur�e de vie des ref struct. De l'ext�rieur, UseKey est s�r � appeler ; l'ins�curit� est scell�e � l'int�rieur de l'encadrement.

Distribution binaire

Les biblioth�ques .NET sont souvent distribu�es sous forme de binaires. Une biblioth�que populaire publi�e sur nuget.org peut comporter z�ro ou mille avertissements, mais vous savez qu�elle ne contient aucune erreur. Les erreurs sont l�un des rares aspects de la compilation qui sont communiqu�s de mani�re fiable entre le producteur et le consommateur.

Le mode unsafe de C# 16 s�appuie fortement sur les nouvelles erreurs de compilation. Opter pour le nouveau mod�le signifie que le travail d�annotation a �t� effectu�. Il sera simple d�inspecter un projet et de voir s�il utilise du code unsafe.

Swift, par exemple, s'appuie davantage sur les avertissements pour l'adoption de la s�curit� m�moire. La charge de travail pour Swift est bien moindre puisque les d�pendances sont distribu�es sous forme de code source. Vous pouvez voir les erreurs et les avertissements des d�pendances avec la m�me pr�cision lors de la compilation. Rust dispose �galement de d�pendances distribu�es sous forme de code source, mais s'appuie fortement sur les erreurs.

Nous envisageons d'ajouter des badges sur nuget.org pour encourager l'adoption de la nouvelle mise en �uvre de la s�curit� de la m�moire et pour faciliter la recherche des biblioth�ques qui l'ont adopt�e. Les biblioth�ques et les paquets ayant adopt� le mod�le seront marqu�s en cons�quence, ce qui facilitera l'inspection et la compr�hension de l'�tat de s�curit� de votre cha�ne d'approvisionnement (tel que le compilateur le per�oit).

Il sera courant que des projets compil�s avec l'ancien mod�le utilisent des paquets construits avec le nouveau, et vice versa. Comme d�crit dans la section � En bref �, les deux sens sont asym�triques. Un projet ayant opt� pour le nouveau mod�le applique les r�gles du mode compat aux paquets h�rit�s : tout type de pointeur dans une signature d�appel� n�cessite un bloc unsafe { } englobant au site d�appel. Un projet h�rit�, en revanche, consid�re les paquets ayant opt� pour le nouveau mod�le comme des assemblages ordinaires et n�est soumis � aucun nouveau diagnostic. Cette asym�trie est d�lib�r�e. Le c�t� ayant opt� pour le nouveau mod�le apporte la garantie de s�curit�, et le mode compat emp�che cette garantie de se d�grader silencieusement lors de l�utilisation de code h�rit�.

Espace de conception restant

L'intention de notre projet est de d�ployer tous les aspects du nouveau mod�le en une seule fois, � la fois parce qu'il n'est coh�rent qu'en tant qu'ensemble, et pour �viter aux d�veloppeurs d'avoir � adopter une s�rie progressive de changements rompant la compatibilit�. Cependant, il existe quelques aspects de conception que nous n'avons pas pu traiter dans C# 16.

Le premier est la r�flexion, qui constitue une exception dans le mod�le. Le code peut appeler des API unsafe via MethodInfo.Invoke sans bloc unsafe englobant, et les �critures de r�flexion peuvent enfreindre les invariants document�s sur les champs unsafe. Le code faisant un usage intensif de la r�flexion doit �tre examin� pour d�tecter les appels d'API non s�curis�s et les �critures qui contournent les contrats exprim�s par le nouveau mod�le. Nous aborderons peut-�tre l'utilisation de la r�flexion dans une version ult�rieure.

Le deuxi�me point concerne les dur�es de vie. Rust g�re les dur�es de vie via son v�rificateur d�emprunt ; nous n�envisageons pas de mettre en place un syst�me omnipr�sent comme celui des emprunts. C# s�appuie sur un ramasse-miettes et un syst�me de propri�t� bas� sur les r�f�rences pour couvrir en partie le m�me domaine. Nous envisageons un mod�le de propri�t� cibl�, comme mentionn� dans la section � S�curit� de la m�moire dans .NET �. Nous publierons ult�rieurement des plans de conception � ce sujet.

Le principal cas d'utilisation d'une application plus stricte des dur�es de vie est ArrayPool, en particulier pour les m�thodes Rent et Return. Le sc�nario cl� consiste � renvoyer un tableau et � continuer de l'utiliser. Il s'agit d'une violation de type � utilisation apr�s lib�ration �. Il est facile de se tromper sur la convention, et nous avons commis cette erreur dans notre propre code. En revanche, une utilisation de Rent sans Return constitue une fuite et non une violation de la s�curit� de la m�moire.

Analogies

La fonctionnalit� � Caller-unsafe � invite � des analogies. La plupart ne tiennent pas la route � y regarder de plus pr�s.

Affirmation � Les types de r�f�rence nullables sont similaires � � Caller-unsafe �. Les types de r�f�rence nullables n�cessitent une inspection des m�thodes et des mises � jour potentielles des signatures pour s�int�grer correctement au mod�le. Ils transf�rent �galement la nullabilit� de l�appel� vers l�appelant et incluent un m�canisme de suppression.

R�alit�. Les types de r�f�rence nullables sont une pr�occupation li�e au site d'utilisation qui affecte le type d'une expression. Ils n'affectent en rien la nature de l'appelant. La suppression nullable (!) s'applique � une seule expression ; elle indique au compilateur que la valeur est non nulle � cet endroit. Avec unsafe, il n�y a pas de raccourci au niveau de l�expression ; chaque appel � un membre unsafe n�cessite un bloc unsafe { } englobant. La suppression dans le mod�le unsafe est une r�gion d�limit�e et v�rifiable, et non une annotation par valeur.

Affirmation � Async est similaire � caller-unsafe. Async se propage de m�thode en m�thode. Le mot-cl� async force la propagation, tout comme unsafe. Task.Wait() est le m�canisme de suppression.

R�alit�. Le mot-cl� async s'apparente davantage � unsafe de C# 1.0 en ce qu'il �tablit un contexte async pour la m�thode dans lequel await peut �tre utilis� ; le type de retour de la m�thode (Task/ValueTask) est ce que voient les appelants. Le m�canisme de propagation est un type de retour attendable : le syst�me de types lui-m�me. Task.Wait() force une transition de async vers sync, ce qui s'accompagne de compromis importants. Ce n�est pas un m�canisme de suppression formel.

Affirmation � Le @unsafe au niveau du type de Swift n�est autre que l�unsafe au niveau du type de C# 1.0. Les deux langages utilisent le mot-cl� sur un type, donc la suppression de l�unsafe au niveau du type dans C# 16 semble abandonner quelque chose que Swift a conserv�.

R�alit�. Les deux marqueurs partagent un mot-cl� et une cible, mais sont presque orthogonaux sur le plan s�mantique. Le @unsafe de Swift sur un type est un contrat orient� vers l�appelant : toute d�claration utilisant ce type devient implicitement @unsafe, et les appelants doivent encapsuler les acc�s dans des expressions unsafe. L�unsafe de C# 1.0 sur un type relevait de la port�e d�impl�mentation : il permettait aux corps des membres du type d�utiliser des pointeurs, mais ne propageait rien aux appelants. C# 16 supprime la forme de C# 1.0 car elle ne comportait aucune information pour l�appelant. Les deux diff�rent �galement par leur nature : le marqueur de Swift est non permissif, imposant une obligation aux appelants, tandis que celui de C# 1.0 �tait permissif, d�bloquant des capacit�s au sein des membres du type. La forme Swift est la plus ax�e sur la s�curit� des deux. Interpr�ter le marqueur au niveau du type de Swift � travers le prisme de C# 1.0 est une erreur.

Activation de l'IA

Le mod�le ajoute deux �l�ments qu'un agent ne peut ignorer : un graphe d'appel partitionn� en m�thodes s�res, unsafe et limites ; et un compilateur qui rejette les appels unsafe sans bloc unsafe englobant. Un analyseur �mettra �galement des avertissements en cas d�absence de documentation . Chacun de ces �l�ments restreint le code qu�un agent peut g�n�rer tout en garantissant la r�ussite de la compilation, en particulier si TreatWarningsAsErrors est activ�. Un agent g�n�rant du code pour MemoryMarshal.ReadByte doit soit propager unsafe vers le haut jusqu�� son appelant, soit la supprimer � l�aide de gardes � la limite.

Les documents font office d�instructions sp�cifiques � chaque API. Malgr� cela, un agent de g�n�ration de code peut parfois omettre une condition de s�curit�, sans que le compilateur ne s�en aper�oive. La limite informative reste toutefois utile : elle indique � un humain ou � un agent de r�vision de code exactement o� les conditions de s�curit� doivent �tre plac�es et ce qu�elles doivent prot�ger. Le m�me principe s�applique aux types de r�f�rence nullables et aux analyseurs AOT : des grammaires plus strictes r�duisent l�espace de recherche, et la sortie du mod�le s�adapte en cons�quence.

Il existe deux moyens principaux par lesquels les agents peuvent contourner le mod�le :

- G�n�rer du code qui ne compile pas.

- Revenir � l'ancien mod�le pour le projet et/ou activer AllowUnsafeBlocks. Cela s'apparente aux cas o� les agents souhaitent parfois d�sactiver TreatWarningsAsErrors ou IsAotCompatible.

Ces deux cat�gories sont faciles � d�tecter lors de la r�vision du code ou � identifier dans l'historique Git. � Plus facile � d�tecter lors de la r�vision du code � est le slogan de toute cette initiative.

La migration vers le nouveau mod�le convient �galement bien aux agents. Migrer le code existant vers le mod�le et �crire du nouveau code dans le cadre de ce mod�le ne sont pas vraiment des activit�s diff�rentes. Une fois que le premier ensemble d�API de la biblioth�que d�ex�cution .NET aura �t� migr�, la conformit� deviendra une t�che uniforme pour l�ancien et le nouveau code.

Les mod�les bien �tablis en Rust (unsafe fn, unsafe {}) se transposent clairement dans le code de type C#. Les agents peuvent effectuer une correspondance de mod�les sur les corpus existants (std de Rust, biblioth�que standard de Swift) et sur les biblioth�ques d'ex�cution .NET au fur et � mesure de leur migration. On peut soutenir que la correspondance de mod�les la plus utile concerne la structure et les idiomes de la documentation de s�curit�. Cet aspect de la migration serait le plus difficile � transformer en comp�tences. Comme indiqu� pr�c�demment, la documentation de s�curit� est l'aspect le plus critique du nouveau mod�le.

Des recherches connexes aboutissent aux m�mes conclusions :

- CRUST-Bench : A Comprehensive Benchmark for C-to-safe-Rust Transpilation (Khatry et al., COLM �25) a montr� que les agents b�n�ficiant du retour d�information du compilateur doublent approximativement le taux de r�ussite de la g�n�ration en une seule passe lors de la traduction de d�p�ts C vers Safe Rust.

- Gorilla: Large Language Model Connected with Massive APIs (Patil et al., NeurIPS �24) a montr� que les grands mod�les de langage (LLM) disposant d�une documentation API accessible appellent les API de mani�re plus fiable et produisent moins d�erreurs que les mod�les de r�f�rence sans assistance.

- Do Users Write More Insecure Code with AI Assistants? (Perry et al., CCS �23) a r�v�l� que les d�veloppeurs utilisant des assistants de codage IA produisaient un code nettement moins s�r qu�un groupe t�moin sans assistance, tout en jugeant leur propre production plus s�re. C�est l��cart que l�application de la s�curit� au niveau du langage est cens�e combler.

- Type-Constrained Code Generation with Language Models (M�ndler et al., PLDI �25) a montr� que l�int�gration des contraintes du syst�me de types dans le d�codage des LLM (plut�t que de s�appuyer sur le retour d�information a posteriori du compilateur) r�duit de plus de moiti� les erreurs de compilation et am�liore la correction fonctionnelle � travers la synth�se, la traduction et la r�paration. Des r�gles linguistiques plus riches fa�onnent la g�n�ration, et ne se contentent pas de la valider.

- MultiPL-E: A Scalable and Extensible Approach to Benchmarking Neural Code Generation (Cassano et al., TSE �23) a montr� que les performances de g�n�ration de code des LLM d�pendent de la proximit� syntaxique avec des langages riches en ressources, et pas seulement du volume d'entra�nement dans le langage cible. C'est ce levier qui permet au corpus unsafe fn / unsafe {} de Rust de se transposer en code de type C#.

- LLM Assistance for Memory Safety (Rastogi et al., ICSE �25) s�est attaqu� � la version � migration � de ce probl�me : d�duire les annotations au niveau source n�cessaires pour adapter le C h�rit� au dialecte s�curis� Checked C. Leur outil a d�duit 86 % des annotations que les outils symboliques ne pouvaient pas fournir, sur des bases de code r�elles comptant jusqu�� 20 000 lignes de code. C'est exactement le m�me type de travail (nommer les contraintes sur lesquelles le code existant s'appuie d�j� implicitement) que n�cessitera la migration vers le nouveau mod�le C#.

Conclusion

Le nouveau mod�le superpose un ensemble de modifications de compatibilit� (opt-in) au code qui utilise actuellement unsafe : unsafe sur une signature de membre d�finit un contrat face � l'appelant, un bloc unsafe est requis � chaque appel � un membre unsafe, et chaque membre unsafe doit comporter un bloc /// . Trois modifications mineures compl�tent le mod�le : le modificateur de type unsafe devient une erreur, le nouveau mot-cl� safe marque les d�clarations extern dont le compilateur ne peut pas d�terminer la s�curit� par lui-m�me, et les types de pointeurs dans les signatures ne propagent plus l'ins�curit� de leur propre chef.

Nous envisageons un avenir o� C# figurera parmi un ensemble de langages choisis et reconnus pour leur application de la s�curit� des types et de la m�moire. Avec ce changement de mod�le, C#, Rust et Swift partagent un vocabulaire et un workflow de s�curit� plus communs. Nous imaginons des �quipes adoptant une vision compl�te de la cha�ne d�approvisionnement de leurs d�pendances, qu�il s�agisse de C# de bout en bout ou de C# au niveau de la couche application par-dessus Rust au niveau de la couche syst�me. Notre propre �quipe a migr� de grands blocs de C++ vers C# au fil des ans pr�cis�ment pour cette raison : le C# s�curis� ne s�accompagne pas d�une charge de travail li�e � la v�rification de la s�curit� de la m�moire.

Une fois qu'une �quipe aura migr� une partie de sa base de code vers le nouveau mod�le de s�curit�, elle sera probablement plus motiv�e � tout migrer, y compris ses d�pendances. Cela pourrait s'av�rer plus facile qu'il n'y para�t pour de nombreux studios de d�veloppement. Le nouveau mod�le conserve C# en grande partie tel quel et modifie les mod�les unsafe que la plupart des d�veloppeurs n'utilisent pas, tout en am�liorant consid�rablement les capacit�s et la posture globales du langage en mati�re de s�curit�. Nous pensons que cette fonctionnalit� figure parmi les changements les plus efficaces que nous puissions apporter pour renforcer la confiance des d�veloppeurs dans cette nouvelle �re du codage.

Ce projet b�n�ficie des contributions de : Andy Gocke, Egor Bogatov, Fred Silberberg, Jan Jones, Jan Kotas, Julien Couvreur, Mads Torgersen, Rich Lander, Tanner Gooding et d�autres.

Source : Improving C# Memory Safety

Et vous ?

:fleche: Pensez-vous que cette pr�sentation est cr�dible ou pertinente ?
:fleche: Quel est votre avis sur le sujet ?

Voir aussi :

:fleche: D�couvrez les types union dans C# 15, par Bill Wagner

:fleche: Exploration des membres d'extension en C# 14, pr�servation de l'�norme quantit� de m�thodes d'extension param�tre "This" existantes tout en introduisant de nouveaux types

:fleche: Microsoft pr�sente les nouvelles fonctionnalit�s du langage de programmation de C# 14 : Membres d'extension, affectation par condition nulle, propri�t�s field stock�es

Images attach�es

Plus le m�me serveur distant

Gluups — Wed, 25 Mar 2026 14:10:40 GMT

Bonjour tout le monde,

J'esp�re que mon sujet ne va pas trop sentir le poisson noy� ...

J'ai modifi� une version des TaskbarGroups, en d�signant comme serveur distant un r�pertoire de mon ordinateur.

J'ai fait une autre version, pour tester des modifications. C'est pourtant clair que dans ce cas il faut cr�er une branche dans Git. Bon, routine, flemme, j'ai plut�t cr�� un autre projet en ajoutant 1 au nom.

Les deux ont continu� de fonctionner, avec des caract�ristiques un peu diff�rentes bien s�r.

C'�tait surestimer ma m�moire, un jour il a fallu que j'ajoute une fonctionnalit�, eh bien je l'ai fait sur la mauvaise version, du coup apr�s je dois fusionner les deux pour avoir les deux fonctionnalit�s.

Au moment o� je suis satisfait du r�sultat, l'envoi vers le serveur distant �choue.

Alors je regarde dans le param�trage, je vois que j'ai en serveur distant le projet d'origine sur Github, bien entendu je n'ai pas les droits.

Est-ce que copier du code d'un projet � l'autre peut �tre � l'origine de �a ? �a me para�t surprenant, mais je peine � me repr�senter ce que j'aurais pu faire d'autre qui soit arriv� � ce r�sultat.

***

Si jamais il y a ici quelqu'un qui a aussi travaill� sur un clone de ce projet, est-il aussi arriv� � la conclusion que garder ouvert le fichier xml est une mauvaise id�e, vu que la fermeture demande un d�lai inconnu, et que la r��criture du coup se plante ? Avec pour r�sultat la perte du groupe en cours d'�dition. Il faut programmer deux sauvegardes pour en trouver une intacte apr�s le plantage.
Sans insister sur les donn�es enregistr�es dans le r�pertoire du programme ...

[resolu] Exception Manager d'extension

yann458 — Sun, 15 Mar 2026 12:14:53 GMT

Bonjour,
Dans visual studio Quand je vais dans Extensions-> Manages extensions , j'ai une exception :
An exception was encountered while constructing the content of this frame. This information is also logged in "C:\Users\usi\AppData\Roaming\Microsoft\VisualStudio\17.0_73bb0266\ActivityLog.xml".

Exception details:
System.Reflection.TargetInvocationException: Exception has been thrown by the target of an invocation. ---> System.Runtime.InteropServices.COMException: Error HRESULT E_FAIL has been returned from a call to a COM component.
at Microsoft.VisualStudio.Setup.Configuration.ISetupConfiguration2.GetInstanceForCurrentProcess()
at Microsoft.VisualStudio.ExtensionManager.Utilities.get_CurrentVsInstance()
at Microsoft.VisualStudio.ExtensionManager.UI.ExtensionManagerDataContext..ctor(ExtensionManagerToolWindowCreationContext context, StatusReportingManager statusReportingManager, Action OnClearExtensions)
at Microsoft.VisualStudio.ExtensionManager.UI.ExtensionManagerToolWindowControl..ctor(ExtensionManagerToolWindowCreationContext context, StatusReportingManager statusReportingManager)
at Microsoft.VisualStudio.ExtensionManager.UI.ExtensionManagerToolWindow..ctor(ExtensionManagerToolWindowCreationContext context)
--- End of inner exception stack trace ---
at System.RuntimeMethodHandle.InvokeMethod(Object target, Object[] arguments, Signature sig, Boolean constructor)
at System.Reflection.RuntimeConstructorInfo.Invoke(BindingFlags invokeAttr, Binder binder, Object[] parameters, CultureInfo culture)
at System.RuntimeType.CreateInstanceImpl(BindingFlags bindingAttr, Binder binder, Object[] args, CultureInfo culture, Object[] activationAttributes, StackCrawlMark& stackMark)
at System.Activator.CreateInstance(Type type, BindingFlags bindingAttr, Binder binder, Object[] args, CultureInfo culture, Object[] activationAttributes)
at System.Activator.CreateInstance(Type type, Object[] args)
at Microsoft.VisualStudio.Shell.Package.InstantiateToolWindow(Type toolWindowType, Object context)
at Microsoft.VisualStudio.Shell.Package.<>c__DisplayClass74_0.g__CreateToolWindowWorker|1()
at Microsoft.VisualStudio.Shell.Package.CreateToolWindow(Type toolWindowType, Int32 id, UInt32 flags, Object context, Guid persistenceGuid)
at Microsoft.VisualStudio.Shell.Package.CreateToolWindow(Type toolWindowType, Int32 id, Object context)
at Microsoft.VisualStudio.Shell.AsyncPackage.d__24.MoveNext()

Je pensais que c'�tait un probl�me de mise � jour , j'ai eu faux .

Merci

[resolu] Il n'y � plus grande monde !

yann458 — Sat, 14 Mar 2026 22:34:44 GMT

Bonjour,
Il y a plus grand monde qui utilisent visual studio ,au moins la 2022 !
Apr�s mise � jour , j'ai message d'erreur n'arrive pas trouver ''hubpilot'' !
Dans projet c# clique droit Generate member n'existe plus !

Pas trouver grand chose sur gooooogle , car plus grand monde programment et utilisent visual studio ! moi qui est besoin de ce logiciel !

J'avais fait une sauvegarde et revenir � la version pr�c�dente qui marchent !

D�sabonner un �v�nement _Leave ne fonctionne pas

AMP29 — Sat, 14 Feb 2026 19:19:29 GMT

Bonjour,

C'est un probl�me tout b�te mais un peu d�licat � expliquer (d'o� les dessins).

J'ai une ListView. Un clique sur un �l�ment rafra�chit un Panel avec les donn�es de l'�l�ment cliqu�.
Chaque �l�ment poss�de une propri�t� 1 ou 2.
Je veux que dans le Panel suivant la valeur 1 ou 2, l'onglet d'un TabControl soit s�lectionn�.

Le Panel poss�de un �v�nement Leave.
Afin qu'un enregistrement automatique des donn�es soit effectu� avant d'afficher l'�l�ment suivant de ListView qui aurait �t� cliqu�.

Quand les �l�ments successifs de Listview cliqu�s poss�dent la m�me propri�t� (1 ou 2), le TabControl n'est pas modifi�.

Le probl�me survient quand TabControl doit changer (de 1 � 2 ou inversement).

Leave est d�clench�, alors m�me que la souris ne survole pas le Panel.
Des enregistrement intempestifs de l'�l�ment de ListView � peine cliqu� se produisent, en cours d'affichage, avec des effets de bords et perte de donn�es.

Ma premi�re id�e a �t� d'emp�cher l'�venement Leave du Panel de se produire pendant le rafra�chissement de Panel :

Code:

1
2
 
DonneesPanel.Leave -= DonneesPanel_Leave;

puis, apr�s l'affichage :

Code:

1
2
 
DonneesPanel.Leave += DonneesPanel_Leave;

�a ne fonctionne pas. Je ne comprends pas pourquoi, alors que :

Code:

1
2
3
 
DonneesPanel.Enter -= DonneesPanel_Enter;
DonneesPanel.Enter += DonneesPanel_Enter;

Fonctionne !

D�s que TabControl doit changer, l'�v�nement _Leave de Panel est d�clench�.
Un enregistrement de la fiche qui est en train de se charger se produit, sans que je puisse l'emp�cher.

Merci pour votre aide

Images attach�es

C# Unity et mur interactif

bard123 — Fri, 06 Feb 2026 07:30:11 GMT

J'ai d�velopp� un jeu (�clater des ballons) avec Unity et C#.
Le jeu est fonctionnel sur une tablette. j'aimerai projeter ce jeu sur un mur pour que ce mur devienne interactif.
Savez quel mat�riel / logiciel dois-je utiliser pour projeter ce jeu et que l'interactivit� fonctionne ?
Merci beaucoup

XmlSerializer - List d'entit�

Magohamoths — Wed, 03 Sep 2025 14:23:48 GMT

Bonjour,

Soit le XML simplifi� suivant

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
  
 
    "Racine">
    
 
    "MF1FILTRE1">
    
 
    "MF1GROUPE1">
    
 
    "MF1FILTRE2">
    
 
    "MF1FILTRE3">

et la class c# pour le d�s�rialiser

Code:

1
2
3
4
5
6
7
8
9
    [XmlRoot(ElementName = "WhereFilter", Namespace = "")]
    public class WhereFilter
    {
        [XmlElement(ElementName = "FilterGroup", Namespace = "")]
        public List FilterGroup;  
 
        [XmlElement(ElementName = "Filter", Namespace = "")]
        public List Filter;
    }

il y a 2 listes d'objet. Dans le principe �a foncionnne sauf que lors de l'�criture il me met en 1er les FilterGroup puis les Filter.
Comme �a

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
  
 
    "Racine">
    
 
    "MF1GROUPE1">
    
 
    "MF1FILTRE1">
    
 
    "MF1FILTRE2">
    
 
    "MF1FILTRE3">

Ce qui est normal.

Je voudrais conserver l'ordre initial.

Avez une id�e de comment je pourrait d�clarer ma class pour faire �a.

Merci

Affichage page web via httpClient

xeron33 — Sun, 31 Aug 2025 23:40:12 GMT

Bjr � tous, comment faire pour afficher une page web depuis un code c# utilisant httpclient :

Code:

1
2
3
4
5
6
7
8
9
 
public static async Task HttpAsync()
{
    var url = "http://www.google.com"; 
    using (var httpClient = new HttpClient())
    {
        var content =await httpClient.GetStringAsync(url);
    }
}

la "var content" si je d�bogue en utilisant le visualisateur html de visual studio m'affiche la page web correspondant � l'url, mais comment fais t-on pour afficher cette page web par programmation ?
Si quelqu'un a une id�e MERCI

instruction await pour methodes asynchrones

xeron33 — Sat, 30 Aug 2025 09:30:57 GMT

Bjr � tous, j'essaie de comprendre le fonctionnement des m�thodes asynchrones en utilisant un exemple vu sur la doc de microsoft :

https://learn.microsoft.com/fr-fr/do...perators/await

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
 
using System;
using System.Collections.Generic;
using System.Linq;
using System.Net;
using System.Net.Http;
using System.Text;
using System.Threading.Tasks;
 
namespace TestsSharpPcap
{
    public class AwaitOperator
    {
        public static async Task Main()
        {
            Task<int> downloading = DownloadDocsMainPageAsync();
            Console.WriteLine($"{nameof(Main)}: Launched downloading.");
 
            int bytesLoaded = await downloading;
            Console.WriteLine($"{nameof(Main)}: Downloaded {bytesLoaded} bytes.");
        }
 
        private static async Task<int> DownloadDocsMainPageAsync()
        {
            Console.WriteLine($"{nameof(DownloadDocsMainPageAsync)}: About to start downloading.");
            var client = new HttpClient();
            byte[] content = await client.GetByteArrayAsync("http://www.google.com/");
            Console.WriteLine($"{nameof(DownloadDocsMainPageAsync)}: Finished downloading.");
            return content.Length;
        }
    }
}

Le probl�me que j'ai est que quand la tache "DownloadDocsMainPageAsync" est lanc�e et qu'elle arrive � l'op�rateur await elle s'ex�cute et termine le programme sans ex�cuter le reste du code :

Code:

1
2
3
 
Console.WriteLine($"{nameof(DownloadDocsMainPageAsync)}: Finished downloading.");
return content.Length;

ce qui donne comme r�sultat :

DownloadDocsMainPageAsync: About to start downloading.
Main: Launched downloading.

au lieu comme le stipule le cours :

// Output similar to:
// DownloadDocsMainPageAsync: About to start downloading.
// Main: Launched downloading.
// DownloadDocsMainPageAsync: Finished downloading.
// Main: Downloaded 27700 bytes.

Ils pr�cisent : "L�op�rande d�une expression await doit fournir une notification lorsqu�une t�che se termine. En g�n�ral, un d�l�gu� est appel� lorsque la t�che se termine, que ce soit une r�ussite ou un �chec. La section await de la sp�cification du langage C# fournit les d�tails sur la fa�on dont ces notifications sont impl�ment�es."
mais je n'arrive pas � voir d'exemples pr�cis, si quelqu'un a une id�e MERCI

Comment compiler libiec61850 pour pouvoir l'utiliser comme DLL en C# ?

calogerogigante — Fri, 18 Jul 2025 19:10:57 GMT

Bonjour,
Je ne suis pas s�r d'�tre dans le bon forum, mais bon voil�, ma question concerne au final le C#.
(Changez la rubrique du post si vous pensez que cela doit �tre fait).

Voici l'expos� de mon probl�me. Je voudrais faire un projet en C# qui tourne autour du protocole industriel iec61850.
Mais j'ai besoin d'une librairie open-source que j'ai beaucoup de mal � compiler.

Cette librairie, c'est libiec61850 de mz-automation qui a �t� �crite en C : la voici :
https://github.com/mz-automation/libiec61850
On apprend dans l'intro qu'il est possible de la compiler en .DLL pour C#.
Et mz-automation fournit aussi un wrapper pour .Net qui permet d'utiliser facilement toutes les fonctions de la librairie en C#.

Cette librairie est d'ailleurs utilis�e (sous forme de DLL aussi, mais ancienne et incompl�te) dans le magnifique logiciel open-source IED-Explorer (h�berg� avec des ex�cutables sur SourceForge) : programme qui marche tr�s bien au demeurant.

J'ai pris mon courage � deux mains, et j'ai tent� de compiler libiec61850.
(Autre remarque, m�me si je vais utiliser cette DLL sous Windows, j'ai une intuition qui me dit que ce sera plus facile de produire cette DLL sous Linux).

Voici mon mode op�ratoire (sous Ubuntu), mais je n'arrive pas � atteindre l'objectif final.

1) d'abord je me suis assur� d'avoir un compilateur cross-platform, j'ai fait :
sudo apt-get install gcc-mingw-w64

2) ensuite, j'ai v�rifi� que j'ai un cmake r�cent :
cmake --version
3.28.3

3) J'ai t�l�charg� le SDK de WinPcap, c�d WpdPack_4_1_2.zip dont j'extrais le contenu Lib et Include et je les place dans les sources :
Third_Party/WinPcap/

4) je cr�e alors un dossier build dans le dossier racine de la librairie : ./libiec61850/build
je vais dans ce dossier build et je fais : CMake avec les deux points. Ces deux points vont chercher en r�alit� CMakeLists.txt un niveau plus haut :
cmake ..

5) cela semble construire correctement un fichier make, dirait-on.

6) ensuite je me place � nouveau dans le dossier ./libiec61850/build, et de l�, dans mon terminal, je fais :
make TARGET=WIN32

7) l�, j'ai un magnifique d�fil� de compilation, apparemment sans aucun message d'erreur (cool), et cela semble
me construire :
- un fichier compil� nomm� libiec61850.so de 1,1 Mo.
- un fichier compil� nomm� libiec61850.so.1.6.0 de 1,1 Mo.
- un fichier compil� nomm� libiec61850.a de 1,8 Mo.

Mais aucune DLL ?

J'ai cherch� partout des exemples de compilation, mais je ne sais toujours pas comment compiler en DLL � mon stade de connaissance ?
Quelqu'un peut me dire quelle commande je dois ins�rer ou modifier pour obtenir cette fameuse librairie au format libiec61850.dll ?

Un grand merci d'avance pour votre aide. :calim2:

Coder JavaScript depuis C#

xeron33 — Thu, 17 Jul 2025 09:00:50 GMT

Bonjour � tous,
Je souhaiterais pouvoir coder du javascript depuis une appiication console c# Framework .net 4.8.
J'ai essay� d'ajouter � mon code :

Code:

1
2
 
using System.Runtime.InteropServices;

Quand j'essaie d'utiliser Interop :

Code:

1
2
 
Interop s;

J'ai l'erreur : Erreur de compilateur CS0122

"membre" est inaccessible en raison de son niveau de protection

Je n'arrive pas � trouver une bonne solution, si quelqu'un a une id�e. MERCI

Comme le fait Inspect.

wsixpo82 — Mon, 14 Jul 2025 06:55:10 GMT

Bonjour � tous,

Je suis en cours de d�veloppement d'une application me permettant d'utiliser une interface (DAW-Midi) vers une application (DASLIGHT) �crite en QT5 afin de pouvoir faciliter la manipulation de param�trage sur cette application.

La plupart des boutons de cette application sont accessibles par une commande en utilisant le protocole OSC, mais malheureusement, il me manque la possibilit� d'acc�der � certains �l�ments (Edit).

J'ai demand� au programmateur de cette application s'il pouvait ouvrir ces �l�ments, mais il m'a r�pondu que ce n'�tait pas dans sa priorit�.

J'arrive � envoyer un clique par un sendmessage vers cette application, mais je n'ai pas toutes les informations (position x/y) pour pouvoir l'automatiser.

Si j'utilise l'application "inspect.exe" elle me donne toute une arborescence des objets de cette l'application avec les informations qu'il me faudrait.

Savez-vous comment il est possible d'obtenir la liste de ces objets et leurs param�tres � partir du handle de l'application comme le fait l'application "inspect.exe" ?

Merci beaucoup pour votre aide.

� bient�t.

Fran�ois.