在美國國家安全局 （NSA） 建議組織從 C/C++ 切換到內(nèi)存安全語言 （如 C#、Rust、Go、Java、Ruby 或 Swift） 之后。C++ 之父 Bjarne Stroustrup 回應(yīng)稱，在他看來，NSA 報(bào)告中提到的 “安全” 編程語言在重要應(yīng)用程序中實(shí)際上并不優(yōu)于 C++。

Bjarne 指出，NSA 的這一判定忽略了 C/C++ 三十多年來的進(jìn)步；且許多 C++ 的用例也停留在遙遠(yuǎn)的過去而忽視了改進(jìn)，其中就包括極大地提高安全性的方法。

現(xiàn)在，如果我認(rèn)為這些 “安全” 語言中的任何一種在我關(guān)心的使用范圍內(nèi)都比 C++ 優(yōu)越，我就不會認(rèn)為 C/C++ 的淡出是一件壞事，但事實(shí)并非如此。另外，正如所描述的那樣，“安全” 僅限于內(nèi)存安全，而忽略了一種語言可能（并且將會）被用來違反某種形式的安全和保障的十幾種其他方式。

Bjarne 表示，自己幾十年來一直致力于實(shí)現(xiàn)更好、更安全、更高效的 C++。特別是關(guān)于 C++ Core Guidelines 的工作，旨在為有需要的人提供靜態(tài)保證的類型安全和資源安全的 C++。符合 C++ Core Guidelines 的良好靜態(tài)分析器可以為 C++ 代碼安全提供必要的保證，且比升級到更新的安全編程語言要簡單得多。

他批評 NSA 的報(bào)告只關(guān)注內(nèi)存處理問題，而忽略了許多其他影響項(xiàng)目安全性和可靠性的編程語言問題。并建議使用代碼注釋和編譯器選項(xiàng)來控制規(guī)則的包含，以確保類型和資源得到安全處理。考慮到可能對項(xiàng)目造成的破壞，他保證 C++ 社區(qū)不會忽視安全問題，但只關(guān)注安全問題也不行。因此他計(jì)劃列出一份可被視為安全問題（包括 UB）的問題清單，并找到預(yù)防這些問題的方法。

此外，Bjarne 在與日前 InfoWorld 的郵件溝通中補(bǔ)充道，“太多人談?wù)撋裨挵愕?C/C++ 語言，但轉(zhuǎn)頭卻去關(guān)注 C 部分的弱點(diǎn)。許多這些弱點(diǎn)在 C++ 中是可以避免的，通常可以通過編寫更高效的代碼來更直接地表達(dá)程序員的意圖”。

郵件中 Bjarne 也分享了他對安全的定義：目標(biāo)是類型和資源安全，即每個對象都根據(jù)其類型使用，沒有資源泄漏。對于 C++，這意味著一些運(yùn)行時范圍檢查，消除通過懸空指針的訪問，并避免誤用強(qiáng)制轉(zhuǎn)換和聯(lián)合。C++ 提供 high-level 工具，例如容器、span、range-for 循環(huán)和變體，它們可以在不損害生產(chǎn)力或效率的情況下提供保證。關(guān)于 NSA 引用的所謂安全語言，Bjarne 則表示，所有這些語言都容易受到未經(jīng)靜態(tài)驗(yàn)證的代碼的攻擊。此外，每個系統(tǒng)都必須使用硬件，而有效的硬件訪問很少是安全的。

Bjarne 還概述了他安全使用 C++ 的策略：

靜態(tài)分析以驗(yàn)證沒有不安全的代碼被執(zhí)行。

簡化代碼的編碼規(guī)則，使工業(yè)規(guī)模的靜態(tài)分析可行。

使此類簡化代碼相當(dāng)容易編寫并確保在需要時進(jìn)行運(yùn)行時檢查的庫。

目前共存在數(shù)百萬 C++ 程序員和數(shù)十億行 C++ 代碼，該語言目前的主要用途包括航空航天、醫(yī)療儀器、人工智能 / 機(jī)器學(xué)習(xí)、生物醫(yī)學(xué)、高能物理學(xué)等。

審核編輯 ：李倩