Discussion :

[Patrick Ruiz]

Un développeur propose une réimplémentation de GNU Coreutils en Rust pour rendre le paquetage multiplateforme
Et le justifie par la supériorité de Rust à C et C++ pour la sécurisation de la mémoire

GNU Coreutils est un paquetage du projet GNU qui contient de nombreux outils de base nécessaires pour les systèmes d’exploitation de type Unix : cp (copie d’un fichier ou répertoire), mkdir (créer un répertoire), etc. Un développeur en propose une réimplémentation en langage Rust. L’un des objectifs : rendre le paquetage utilisable sur d’autres systèmes d’exploitation : Windows, macOS, Android, FreeBSD, etc. La manœuvre vient relancer le débat sur la question de savoir s’il faut continuer d’initier de nouveaux projets en C et C++ ou simplement opter pour le langage Rust.

« Le langage Rust offre des garanties de sécurisation par défaut pour ce qui est de la gestion de la mémoire. Ce n’est pas le cas avec C et C++ dont l’utilisation chez Mozilla est la cause de problèmes de sécurisation de la mémoire », souligne Sylvestre Ledru.

Sylvestre Ledru a commencé à travailler sur cette réimplémentation pendant la pandémie COVID-19 et a procédé à sa présentation la semaine dernière lors de l’édition 2023 du FOSDEM. L’effort dénommé uutils est désormais empaqueté par de nombreuses distributions Linux et est aussi utilisé maintenant par un célèbre réseau social via le projet Yocto.

Les comparatifs des langages Rust et C++ ont un dénominateur commun : la mise en avant de la supériorité de Rust à C++ en matière de sécurisation de la mémoire. L’éditeur RisingWave explique pourquoi il a réécrit son SGBD Cloud natif depuis zéro en Rust après abandon du projet en C++ :

« Rust garantit la sécurisation de la mémoire et des threads au moment de la compilation en introduisant des règles de propriété. Il va au-delà du RAII, un mécanisme de gestion de la mémoire couramment utilisé en C++. Il présente deux avantages. Le premier est évident : une fois que le compilateur Rust a validé notre programme, nous n'aurons pas de défauts de segmentation ou de conditions de concurrence lors de l'exécution, ce qui nécessiterait des dizaines d'heures de débogage, en particulier dans une base de code hautement concurrente et principalement asynchrone. La seconde est plus subtile : le compilateur Rust restreint simplement les types de fautes, ce qui réduit les fragments de code étroitement imbriqués qui peuvent causer un tel comportement bogué. La réplication des bogues est considérablement améliorée avec l'aide de l'exécution déterministe. »

Néanmoins, Bjarne Stroustrup s’inscrit en faux avec le fait que les comparatifs entre Rust et C++ limitent la notion de sécurisation des logiciels à celle de sécurisation de la mémoire : « Il n'y a pas qu'une seule définition de la notion de "sécurité" et nous pouvons réaliser une variété de types de sécurité par une combinaison de styles de programmation, de bibliothèques de support et grâce à la mise à profit de l'analyse statique. » Bjarne Stroustrup suggère ainsi que ce qu’il est possible d’obtenir du C++ en matière de sécurisation des logiciels dépend entre autres du développeur et notamment de la connaissance des outils que lui offre le langage, de sa maîtrise du compilateur, etc.

Des ingénieurs de Google au fait de ce que le C++ leur offre comme possibilités se sont donc lancés dans la mise sur pied dans ce langage d’un borrow-checker. C’est une fonctionnalité du compilateur Rust qui garantit la sécurisation de la mémoire grâce à une gestion des allocations en mémoire des pointeurs.

L’équipe de Google dont la publication est parue au troisième trimestre de l’année précédente est parvenue à la conclusion que le système de types du C++ ne se prête pas à un tel exercice. Et donc que la sécurisation de la mémoire en C++ est réalisable avec des vérifications lors de l’exécution du programme. En d’autres termes, c’est avec du code C++ lent qu’il est possible d’atteindre un niveau de sécurisation équivalent à celui du Rust.
La sortie de l’éditeur RisingWave intervient dans un contexte où Rust se démarque des autres langages présentés depuis des années comme des alternatives au C et au C++. En effet, le noyau Linux s’ouvre de plus en plus au langage de programmation système de Mozilla.

Après 31 ans, un deuxième langage fait son entrée pour le développement du noyau Linux : c’est le Rust. La prise en charge de Rust pour le développement du noyau Linux est vue comme une « une étape importante vers la capacité d'écrire les pilotes dans un langage plus sûr. » Rust de Mozilla Research est le type de langage de programmation auquel ceux qui écrivent du code pour des systèmes d’entrée/sortie de base (BIOS), des chargeurs d’amorce, des systèmes d’exploitation, etc. portent un intérêt. D’avis d’observateurs avertis, c’est le futur de la programmation système en lieu et place de langages comme le C ou le C++.

Et vous ?

Êtes-vous en accord avec les griefs portés à l'endroit de C/C++ en matière de sécurité ? Le problème n'est-il pas plutôt celui de la qualité des développeurs ?
Le C et le C++ ont-ils vraiment besoin de remplaçants surtout en matière de programmation système ?
Votre entreprise a-t-elle adopté le langage Rust ? Si oui, pour quelles raisons ?

Voir aussi :

L'équipe Microsoft Security Response Center recommande l'utilisation de Rust comme approche proactive pour un code plus sécurisé
Quel langage pourrait remplacer C ? Après avoir comparé Go, Rust et D, le choix d'Andrei Alexandrescu se porte sur D
C2Rust : un outil qui permet de faire la traduction et la refactorisation de votre code écrit en langage C vers le langage Rust

[chrtophe]

Êtes-vous en accord avec les griefs portés à l'endroit de C/C++ en matière de sécurité ? Le problème n'est-il pas plutôt celui de la qualité des développeurs ?

oui les problèmes sont générés par les développeurs. Si Rust permet d'être un garde fou c'est positif, ça va permettre aux bons développeurs d'éviter des bugs d’inattention, et aux moins bons de ne pas faire d'erreurs de débutants.

Maintenant combien représente en lignes de codes les coreutils ?

Ca peut être un sacré boulot.

[Uther]

D'après le dépôt git, ça fait 89074 lignes de code + 5277 de header. C'est à la fois beaucoup et pas tant que ça pour un élément important du système.

[vivid]

"ça va permettre aux bons développeurs d'éviter des bugs d’inattention" => débugueur. Pour ceux qui trouve la programmation trop difficile pour passer a Rust ou autre béquille, je leur conseille les LEGOs. CQFD
A toujours vouloir aller a la facilité, on se prive d'une pratique d'adresse intellectuelle. Les salaires suivront...

[Pyramidev]

"ça va permettre aux bons développeurs d'éviter des bugs d’inattention" => débugueur. Pour ceux qui trouve la programmation trop difficile pour passer a Rust ou autre béquille, je leur conseille les LEGOs. CQFD
A toujours vouloir aller a la facilité, on se prive d'une pratique d'adresse intellectuelle. Les salaires suivront...

Je vois dans un autre fil que tu dis coder en C et en assembleur.

Quand tu codes en C, désactives-tu tous les avertissements du compilateur en considérant que ce ne sont que des béquilles ?
Si oui, ce n'est pas très professionnel.
Sinon, il y a une règle plus générale à extrapoler pour comprendre l'intérêt des langages qui offrent une manière plus productive d'éviter certains bogues. C'est plus productif de détecter un bogue statiquement qu'à l'exécution.

À part ça, c'est quand même incroyable de lire que les contrôles à la compilation en Rust sont une "béquille" recherchée par des gens qui évitent la difficulté, alors que Rust fait partie des langages dont il est pourtant connu que la courbe d'apprentissage est plus difficile au début que pour les langages mainstreams. C'est justement à cause de la recherche de la facilité à court terme que Rust ne progresse que lentement, étant donné que c'est plus facile de faire de la résistance au changement ou de choisir un langage comme Go qui a la réputation de s'apprendre très vite.

[vivid]

Je vois dans un autre fil que tu dis coder en C et en assembleur.

Quand tu codes en C, désactives-tu tous les avertissements du compilateur en considérant que ce ne sont que des béquilles ?
Si oui, ce n'est pas très professionnel.
Sinon, il y a une règle plus générale à extrapoler pour comprendre l'intérêt des langages qui offrent une manière plus productive d'éviter certains bogues. C'est plus productif de détecter un bogue statiquement qu'à l'exécution.

À part ça, c'est quand même incroyable de lire que les contrôles à la compilation en Rust sont une "béquille" recherchée par des gens qui évitent la difficulté, alors que Rust fait partie des langages dont il est pourtant connu que la courbe d'apprentissage est plus difficile au début que pour les langages mainstreams. C'est justement à cause de la recherche de la facilité à court terme que Rust ne progresse que lentement, étant donné que c'est plus facile de faire de la résistance au changement ou de choisir un langage comme Go qui a la réputation de s'apprendre très vite.

J'aurais du préciser ; en milieu non pro, après je comprend bien la contraire de productivité en milieu pro...
mais perso, oui je désactive les avertissements, sinon comme avec les correcteurs orthographique je progresse pas , si je me laisse aller dans trop de confort, je finit par faire du... java (je suis taquin)

[kaitlyn]

perso, oui je désactive les avertissements, sinon comme avec les correcteurs orthographique je progresse pas

Autrement dit en voiture tu n'attaches pas ta ceinture de sécurité parce qu'en moto ça t'empêche de progresser ?
Ou encore tu préfères marcher dans le noir parce que sinon comme en plein jour t'avances pas ?

[vivid]

Autrement dit en voiture tu n'attaches pas ta ceinture de sécurité parce qu'en moto ça t'empêche de progresser ?
Ou encore tu préfères marcher dans le noir parce que sinon comme en plein jour t'avances pas ?

Affligeant...

[Uther]

C'est dit de manière sèche, mais le fond est vrai : désactiver les warning ne fera pas de toi un meilleur programmeur, au contraire.
Si on ne voit pas les erreurs potentielles, c'est difficile d'apprendre à les éviter, et en désactivant les outils de détection, tu vas passer à coté de la plupart, sans même t'en rendre compte, car beaucoup d'entre elles sont sans conséquences visibles au premier abord.
Le borrow checker de Rust pousse encore plus loin cette logique : il te force à réfléchir à la durée de vie de tes données. Ironiquement, Rust est un excellent langage pour apprendre à faire du code C de meilleure qualité. La logique qu'il impose de respecter est tout a fait valable pour faire du C sûr.

[kaitlyn]

Affligeant...

J'en suis désolée, et pour cause, non seulement ce que tu écrivais n'avait pas de sens, mais en plus avec ton petit sourire dans le coin là ( --> --> ), tu avais vraiment besoin qu'on te fasse redescendre sur terre.
Quand tu as un bon outil à ta disposition, c'est à toi qu'il incombe de l'utiliser correctement, pas l'inverse. Donc ne le prend pas mal, c'était pour ton bien.