Rust 這兩年在大廠的追捧下，憑借著出色的內(nèi)存效率、速度與安全性，開始爆火。現(xiàn)如今，這把“火”直接燒到了誕生了 40 余載的 Windows 身上！

不久之前，微軟企業(yè)和操作系統(tǒng)安全副總裁 David Weston 在以色列 Blue Hat IL 2023 安全大會上透露，微軟將效仿 Linux，用 Rust 重寫部分 Windows 內(nèi)核。

“我們正處于在 Windows 中用 Rust 爬行、行走、運行的階段”， David Weston 說道。“我們談?wù)摰氖堑厍蛏献顝碗s的工程產(chǎn)品之一。但我們的目標是為了提高安全性……因此，你將在未來幾周或幾個月內(nèi)看到 Windows 內(nèi)核中使用 Rust 編寫，這真的很酷。這里的基本目標是將這些內(nèi)部 C++ 數(shù)據(jù)類型中轉(zhuǎn)換為 Rust 等價物?！?/p>

這不，微軟的確兌現(xiàn)了承諾，短短兩周之后，有消息傳出最新的 Windows 11 Insider Preview 版本是第一個包含 Rust 代碼的版本。

“如果你在 Windows 11 Insider ring 上，那么將首次感受到 Rust 在 Windows 內(nèi)核中帶來的魔力?！?/p>

Rust 已重寫了Windows 內(nèi)核中的36,000 行代碼

當然，透露出最新消息的人，不是別人，而是頗有話語權(quán)的 Azure CTO Mark Russinovich。

這也不禁讓我們想起去年 9 月，Mark Russinovich 在其個人推特賬號發(fā)表動態(tài)稱是時候停止使用 C/C++啟動任何新項目，并建議在需要使用 noc-GC 語言的場景下使用 Rust 編程語言。

如今在微軟 Windows 內(nèi)核宣布采取 Rust 重寫之際，Mark Russinovich 便迫不及待地在第一時間與外界分享最新進度，難掩其對 Rust 語言的支持以及對 C/C++ 的嫌棄之情。

雖說 Mark Russinovich 的個人立場并不能代表企業(yè)對外的觀點，但是微軟對 Rust 的態(tài)度早已對外袒露。

早在 2019 年，便有外媒報道，微軟正在嘗試用 Rust 重寫 Windows 底層組件，旨在移除不安全的代碼。

當前，據(jù)微軟企業(yè)和操作系統(tǒng)安全副總裁DavidWeston 在安全大會上分享，微軟已經(jīng)用 Rust 重寫了 Windows 內(nèi)核中的 36,000 行代碼。

更早些時候，微軟用 Rust 重寫了 DirectWrite Core 庫的概念驗證，它是 Windows 的 DWrite 引擎的 Windows App SDK 實現(xiàn)，用于文本分析、布局和渲染。當下，DWriteCore 包含了大約152,000 行 Rust 代碼和 96,000 行 C++ 代碼。

Weston 還指出，“Windows 內(nèi)核中現(xiàn)在有一個用 Rust 編寫的系統(tǒng)調(diào)用?！?/p>

為什么要選擇Rust？

微軟之所以想要逐漸摒棄 C/C++ 而擁抱 Rust，根據(jù) Weston 的說法，Rust 代碼比當前的 C++ 代碼更容易編寫和理解，也更安全。

對于那些不熟悉的人來說，Rust 是一種現(xiàn)代的類 C 編程語言，受到開發(fā)人員的喜愛，因為它強制創(chuàng)建安全的本地代碼，而沒有托管語言的開銷。

實際上，Rust 與 C 和 C++ 等語言的性能相當，同時更易于調(diào)試和維護，而且最重要的是在內(nèi)存安全方面幾乎打遍天下無敵手。

一直以來，內(nèi)存安全的漏洞是多個企業(yè)與開發(fā)者頗為頭疼的難題。

此前，CSDN 也報道過，根據(jù)長期關(guān)注內(nèi)存漏洞的開發(fā)者@LazyFishBarrel 的統(tǒng)計，蘋果公司的 iOS 和 macOS 系統(tǒng)中 60%-70% 的漏洞是內(nèi)存安全漏洞。

微軟在2019 年的一次會議上透露，從 2006 年到 2018 年，其發(fā)現(xiàn)的 70%的漏洞都是因內(nèi)存安全問題造成的。

據(jù) Google 估計，Chrome 中存在了類似比例的內(nèi)存安全漏洞，另外90% 的 Android 系統(tǒng)漏洞也都是內(nèi)存安全問題。

針對這一問題，美國國家安全局（NSA）在去年也曾發(fā)布指南，鼓勵多個組織將編程語言從 C/C++轉(zhuǎn)為使用內(nèi)存安全的語言，如 C#、Rust、Go、Java、Ruby 和 Swift。

NSA 認為，黑客極有可能會利用代碼中管理不善的內(nèi)存漏洞，而這種漏洞在程序員使用靈活性更高的編程語言時更容易出現(xiàn)。NSA 網(wǎng)絡(luò)安全技術(shù)總監(jiān) Neal Ziring 表示，在開發(fā)消除此類漏洞的軟件時，必須始終使用內(nèi)存安全語言和其他保護措施。

微軟現(xiàn)如今用 Rust 重寫部分 Windows 內(nèi)核代碼，也是在為內(nèi)核安全而考慮。

因為內(nèi)核是計算機操作系統(tǒng)的核心部分，對整個系統(tǒng)的運作至關(guān)重要。

同時，它也是電腦開機后最先啟動的東西之一，然后它就永久地存在于內(nèi)存中，充當計算機應(yīng)用程序和硬件之間的媒介。

如果一個攻擊者成功地破壞了內(nèi)核，他們就可以完全控制運行內(nèi)核的設(shè)備，這無疑是最糟糕的結(jié)果。

此外，這些問題不僅僅在 Windows 系統(tǒng)上會出現(xiàn)，MacOS、Linux 等系統(tǒng)也同樣存在這樣的問題。

內(nèi)核漏洞的很大一部分集中在內(nèi)存管理上。傳統(tǒng)來看，最流行的內(nèi)核編碼語言是 C 和 C++，這兩種語言雖然提供了出色的性能和不錯的靈活性，但是一旦涉及到安全問題時，就沒那么有用了。

因此，一旦有心懷不軌的人想要發(fā)起網(wǎng)絡(luò)攻擊，內(nèi)存將會成為重災(zāi)區(qū)。往往內(nèi)存的缺陷或者 Bug 又會極易被利用，也會存在諸多的惡意代碼。

對此，F(xiàn)aceTime 安全實驗室前研究總監(jiān) Christopher Boyd 在一篇博客中進一步分析表示，內(nèi)存的一個重要部分是可怕的緩沖區(qū)溢出攻擊，該攻擊自 1970 年代以來一直存在。這是指寫入緩沖區(qū)的數(shù)據(jù)溢出并覆蓋了附近的內(nèi)存。當系統(tǒng)的內(nèi)存以這種方式被篡改時，就會導致各種形式的利用。

盡管很多企業(yè)一直強調(diào)讓程序員編寫更安全的代碼，改進底層語言，并采取 Windows 地址空間布局隨機化（ASLR）等緩解措施，然而，緩沖區(qū)溢出仍然是一個巨大的問題。

ChristopherBoyd 表示，要想徹底根除這些問題的唯一方法就是，從 C 和 C++ 轉(zhuǎn)到像 Rust 這樣可以自動管理內(nèi)存的內(nèi)存安全語言。

而且這一方法已經(jīng)被很多企業(yè)采用了，譬如 2021 年，Android 系統(tǒng)開始支持 Rust 開發(fā)操作系統(tǒng)，導致該平臺的內(nèi)存安全漏洞大幅下降。

如今微軟在用 Rust 語言改進 Windows 11 內(nèi)核，并添加了 36000 行內(nèi)核代碼時，據(jù) The Register 報道，初步性能測試沒有看到 Rust 化的內(nèi)核對性能造成降低。

Rust 取代不了 C/C++已在 Windows 內(nèi)核中 40 年的工作

當然，微軟不僅僅是用 Rust 改寫 Windows 內(nèi)核，也將引入其 Pluton 安全處理器。

當Weston 在安全大會上說到 Pluton 時，他表示，"我們正朝著使用 Rust 的內(nèi)存安全語言的方向發(fā)展。我們還沒有達到這個目標，但我們正在努力......可信計算基地的內(nèi)存安全問題是真實存在的，而且可以說是最令人痛苦的問題，不僅是因為如果 TPM 被破壞，[黑客]有可能接觸到各種東西，而且當 TPM 必須更新時，它們有一個重置狀態(tài)，對用戶來說是非常痛苦的。有 Rust 的存在是超級關(guān)鍵的"。

不過，需要注意的是，微軟不會做的是用 Rust 替換內(nèi)核中 C/C++ 的整個“40 年工作”。為此，Weston 解釋道，“雖然我們（微軟）喜歡 Rust，但我們需要一種策略，其中還包括保護更多的本地代碼?！?/p>

Rust 是否真的能夠如愿保證安全性？

最后，毫無疑問的是，Rust 的引入必將會讓 Windows 在內(nèi)存安全方面取得不錯的進展。

就像在2022 年底，Linux-6.1 首次引入 Rust 語言作為內(nèi)核模塊的開發(fā)語言，形成了 Rust for Linux 項目那樣，讓 Rust 成為 C 語言之后的第二語言。對此，開發(fā)者也期望在引入 Rust 語言后，在內(nèi)核代碼抽象和跨平臺方面能做得比 C 更有效，且會提升內(nèi)核代碼質(zhì)量，有效減少內(nèi)存和多線程并發(fā)缺陷 。

針對如今 Windows 內(nèi)核采用 Rust 改寫，不少網(wǎng)友紛紛押注：

Rust 是超越 C/C++ 的前進之路。

數(shù)十年的漏洞已經(jīng)證明在使用 C/C++ 時防止內(nèi)存破壞的 Bug 是多么困難。雖然像 C# 或 Java 等垃圾回收語言已證明對這些問題更具彈性，但在某些情況下它們無法使用。對于這種情況，我們押注 Rust 將作為 C/C++ 的替代品。Rust 是一種現(xiàn)代語言，旨在與高性能 C/C++ 競爭，但語言中內(nèi)置了內(nèi)存安全和線程安全保證。雖然我們無法在一夜之間用 Rust 重寫所有內(nèi)容，但我們已經(jīng)在 Azure 基礎(chǔ)設(shè)施的一些最關(guān)鍵組件中采用了 Rust。我們預(yù)計，隨著時間的推移，Rust 的采用率將大幅提高。

不過，也有網(wǎng)友表示：“在 Javascript/Web 生態(tài)系統(tǒng)工作多年后，我在過去的幾年中也一直在全職使用 Rust。我不能說它與 C++ 相比如何，但我在 Rust 中的生產(chǎn)力仍然遠遠低于我在 Typecript 中的生產(chǎn)力。我在生產(chǎn)系統(tǒng)中使用 Rust，但在 Typescript 中做原型。”

生產(chǎn)力和安全性究竟該如何平衡，對此，你是否用過 Rust？在生產(chǎn)環(huán)境中使用 Rust 是種怎樣的體驗，是否會減少內(nèi)存漏洞的發(fā)生呢？歡迎留言分享你的看法。

審核編輯 ：李倩