关于rust中的“安全”与“非安全”

在实际使用Rust过程中很多时候，基于rust自身的来实现功能和代码的编写，并依托编译期自身来帮助我们进行“编译检查”，这时候相对来说我们使用的Rust是“安全的”；
不过另外一些“特殊”场景下的需求需要我们来处理底层实现，比如直接与系统层面交互或与汇编指令操作等，那此刻rust可能就变得“不安全”。换种说法：rust是一种同时包含安全和非安全特性的编程语言。

• 安全的Rust
  若是我们所编写的代码均是使用安全rust进行编写的，此时我们无需担心类型安全和内存安全，更无需专注于“垂悬指针”、“二次释放引用”、“其他各种未定义的行为”等；诸如标准库中也提供了很多工具库，来帮忙我们构建符合安全Rust规范的高性能的应用和库。

安全的Rust是一种真正安全的编程语言。

• 非安全的Rust
  在实际应用过程中，我们也许会面临：编写一种标准库没有涉及到的底层抽象；开发标准库(存粹使用rust)；做一些类型系统不能理解的事情，直接操作各种字节码。这时我们就需要对底层实现细节的控制-不安全的rust。

不代表Rust不能进行“非安全的行为”

• 安全与不安全的rust的异同
  不过在Rust中安全和非安全rust的语法规则是完全相同的，只不过非安全的rust允许你可以做一些不安全的行为；
  另外提供安全与非安全rust的价值在于既能享用类似C那样非安全语言的便利及底层的把控，又减少处理C与其他安全语言集成时的问题；

• 安全与非安全代码的交互
  在Rust中安全与非安全代码是靠unsafe关键字分离的类似两种语言之间接口的角色。这也就可以认为所有非安全代码都被unsafe隔离在外面的或者使用#![forbid(unsafe_code)]确保只能编写安全的代码。

关于unsafe

1、声明代码中存在编译期无法检查的安全规范

2、开发者会自觉遵守相关规范并不会主动破坏它(只能默认认为开发者“确保”了安全)

在实际应用中我们可以使用unsafe来定义函数和trait特型中存在不受编译期检查的规范：

• 对于函数，unsafe意味着调用函数的开发者必须查阅文档并确保他们的用法符合函数的安全要求；

当给一个代码块添加unsafe关键字，也就是意味着该声明块中的代码都已进行“人工检查”并符合相关规范；

• 对于trait的声明，unsafe意味着trait的开发者也必须查询文档以确保trait的实现符合其安全要求；

当实现一个trait时使用了unsafe关键字，声明实现符合trait的安全规范；比如实现Send(一个标记trait，只是声明；其安全性均有实现该trait的开发者者来“确保”)的类型可以绝对安全move到另一个线程中。

3、标准库中的非安全函数

• slice::get_unchecked，可接受不受检查的索引值，也就是存在内存安全机制被破坏的可能;
• mem::transmute，将值重新解析成另一种类型，即允许随意绕过类型安全机制的限制;
• 所有指向确定大小类型 (sized type) 的裸指针都有 offset 方法，当传入的偏移量越界时将导致未定义行为;
• 所有 FFI（Foreign Function Interface）函数都是 unsafe 的，因为其他的语言可以做各种的操作而 Rust 编译器无法检查它;

4、非安全的trait

• Send 是一个标志 trait（即没有任何方法的 trait），承诺所有的实现都可以安全地 move 到另一个线程;
• Sync 也是一个标志 trait，承诺线程可以通过共享的引用共享它的实现;

许多 Rust 标准库其实内部也使用了非安全 Rust。这些库的实现方法都经过了严苛的人工检查，所以这些基于非安全 Rust 实现的安全 Rust 接口依然可以认为是安全的.

安全和非安全的 Rust 之间存在一种不对称的信任关系。安全 Rust 必须无条件信任非安全 Rust，假定所有与之打交道的非安全代码都是正确的。反过来，非安全 Rust 却要谨慎对待安全 Rust 的代码。

非安全 Rust 能做什么

非安全 Rust 比安全 Rust 可以多做的事情只有以下几个：

• 解引用裸指针
• 调用非安全函数（包括 C 语言函数，编译器内联函数，还有直接内存分配等）
• 实现非安全 trait
• 访问或修改可变静态变量

就这些操作被归为非安全的，是因为使用得不正确就会导致可怕的未定义行为。一旦触发了未定义行为，编译器就可以放飞自我，肆意破坏你的程序。切记，一定不能给未定义行为任何的机会。

与 C 不同，Rust 充分限制了可能出现的未定义行为的种类。语言核心只需要防止这几种行为：

• 解引用 null 指针，悬垂指针，或者未赋值的指针
• 读取未初始化的内存
• 破坏指针混淆规则
• 创建非法的基本类型：
  • 悬垂引用与 null 引用
  • 空的 fn 指针
  • 0 和 1 以外的 bool 类型值
  • 未定义的枚举类型的项
  • 在 [0x0,0xD&FF] 和 [0xE000, 0x10FFFF] 以外的 char 类型值
  • 非 utf-8 编码的 str
• 不谨慎地调用其他语言
• 数据竞争

只有这些Rust语言自身可以导致未定义行为的操作。当然，非安全函数和 trait 可以声明自己专有的安全规范，要求开发者必须遵守以避免未定义行为。比如，allocator API 声明回收一段未分配的内存是未定义行为。

但是，违背这些专有的规范通常也只是间接地触发上面列出的行为。另外，编译器内联函数也可能引入一些规则，一般是针对代码优化的假设条件。比如，Vec 和 Box 使用的内联函数要求传入的指针永远不能为 null。

Rust 对于一些模糊的操作则通常比较宽容。Rust 会认为下列操作是安全的：

• 死锁
• 竞争条件
• 内存泄漏
• 调用析构函数失败
• 整型值溢出
• 终止程序
• 删除产品数据库

当然，有以上行为的程序极有可能就是错误的。Rust 提供了一系列的工具减少这种事情的发生，但是完全地杜绝它们其实是不现实的。

引用

meet-safe-and-unsafe