C++, Rust, og C++: Where Safety Helps and Boundaries Still Bite

C++, Rust, og C++: Where Safety Helps and Boundaries Still Bite

C++, Rust, og C++: Where Safety Helps and Boundaries Still Bite

Introduksjon

Windows-kjernen er der rene tavleoverbevisninger går for å oppdage at de skylder virkeligheten tilbake. I ordinært søknadsarbeid kan et team noen ganger tillate seg en vag forklaring på hvorfor en ting gikk i stykker. I kjernearbeid har vage forklaringer en tendens til å bli til feilsjekker, blå skjermer, sinte operatører og feilsøkingsøkter som får deg til å føle at maskinen er personlig skuffet over oppveksten din.

Det er grunnen til at C++- og Rust-samtalen rundt Windows-kjernen er viktig. Ikke fordi den ene siden er nostalgisk og den andre er opplyst, men fordi lavnivå Windows arbeid tvinger alle krav til å overleve kontakt med IOCTL-grenser, IRQL-regler, DMA-antakelser, synkronisering, livstidsdisiplin og verktøy som fortsatt forventer at du skal oppføre deg som en voksen selv om arkitekturdekket ditt ikke gjorde det.

Rust fortjener momentumet her. Minnesikkerhet er ikke falsk. Tydeligere eierskap er ikke falskt. Mer eksplisitte feilflater er ikke falske. Hvis du skriver systemkode nær privilegium og språket kan fjerne en hel kategori av feil som er enkle å lage, er det ikke kosmetisk. Det er en seriøs teknisk fordel og en som C- og C++-team historisk sett har måttet gjenskape med disiplin, gjennomgang og en viss mengde mild paranoia.

Men Windows-kjernen deler ikke ut premier for gode intensjoner. Den belønner team som kan operere inne i økosystemet som faktisk eksisterer: WDK-begrensninger, C-baserte grensesnitt, eldre drivere, eksisterende kodebaser, WinDbg-arbeidsflyter, levetidsregler for kjerneobjekter, DMA og synkroniseringsrealiteter, og det smertelig viktige spørsmålet om hele feilsøkings- og utrullingskjeden forblir forståelig når noe feiler.

Så det nyttige spørsmålet er ikke "Rust eller C++?" Det nyttige spørsmålet er dette: hvor skaper Rust en genuin fordel, hvor forblir C++ den praktiske standarden, og hvordan designer du grensen slik at systemet blir sikrere i stedet for bare mer selv-gratulerende?

Hvorfor Windows Kernel ikke er en generisk systemlekeplass

Folk snakker ofte om systemprogrammering som om hvert lavnivådomene deler ett følelsesmessig klima. Det er ikke sant. Windows-kjernen er ikke bare "noen lavnivåkode." Det er et driftsmiljø med strenge kontrakter og svært kostbare måter å oppdage at du har misforstått dem på.

IRQL eksisterer. Det finnes utsendelsesveier. Personsøkingsbegrensninger finnes. Enhetsstabler finnes. IOCTL-kontrakter eksisterer. Synkroniseringsfeil forblir ikke teoretiske lenge. Dårlig oppryddingslogikk skaper ikke bare en rotete prosessavslutning. Den kan ødelegge tilstanden, kile inn en enhetsbane eller krasje en maskin som noen andre ville ha foretrukket å fortsette å fungere.

Dette betyr at kjernen straffer to motsatte illusjoner. Den første illusjonen er at alt arbeid på lavt nivå skal forbli i C eller C++ for alltid fordi det er slik verden alltid har vært kablet. Den andre illusjonen er at bruk av Rust automatisk forvandler verket til moralsk seier. Begge er late måter å unngå det virkelige designproblemet på.

Det virkelige problemet er å forme systemet slik at den farligste grensen er liten, målbar, feilsøkbar og eid tydelig. Noen ganger betyr det at C++ fortsatt er den beste praktiske passformen fordi førermodellen, eksisterende kode, verktøy og teamerfaring peker dit. Noen ganger betyr det at en Rust-komponent virkelig reduserer risikoen og øker klarheten. Mesteparten av tiden betyr det at svaret er blandet, og bare voksne er komfortable med blandede svar.

Hvor Rust faktisk hjelper i Windows-arbeid på lavt nivå

Rust hjelper det meste når det fjerner forvirring fra kode som ikke har rett til å være forvirrende. Grenseparsing, statlig maskinhygiene, eksplisitt eierskap, klarere oppryddingsmønstre og en strammere disiplin rundt hva som kan alias eller overleve det som alle er meningsfulle gevinster. I kjernetilstøtende eller drivertunge systemer er det viktig fordi feil på lavt nivå sjelden er poetiske. De er repeterende, strukturelt kjente og ydmykende på måter ingeniørteam har brukt flere tiår på å late som om de var en del av romantikken.

Rust er spesielt attraktiv i avgrensede komponenter der grensesnittet kan holdes eksplisitt. Verktøylag, hjelpemoduler, veldefinerte parsere, noen brukermoduskompanjoner for drivere, interne verktøy og nøye isolerte deler av kjerne- eller driverlogikk kan dra nytte av språkets begrensninger hvis den omkringliggende ingeniørhistorien er moden nok til å støtte dem.

Det hjelper også kulturelt. Team som bringer Rust inn i et Windows-systemmiljø får ofte sunnere samtaler om levetider, aliasing, opprydding og nøyaktig hva en grense lover. Det er nyttig selv når den endelige arkitekturen forblir hybrid. Språk former diskusjoner, og noen ganger er en bedre diskusjon allerede materiell fremgang.

Men ingenting av dette betyr at Windows-kjernen nå er en lekeplass hvor lag bør omskrives av teologisk entusiasme. En begrenset seier er fortsatt en begrenset seier. Den forskjellen er hvor seriøs ingeniørkunst unngår å bli et veldig dyrt livsstilsmerke.

Hvor C++ fortsatt beholder virkelig bakken

C++ forblir sterk i Windows kjerne- og driverarbeid av grunner som er hardnakket praktiske. Det er en enorm mengde eksisterende driverkode, eksempler, mønstre, feilsøkingslære og leverandørintegrasjonshistorikk bygget rundt C og C++. Lag som jobber i dette området starter sjelden fra tomt land. De arver drivere, filterkjeder, enhetskontrakter, brukermodusklienter, eldre C++, byggeantakelser og driftsvaner som allerede er C++ formet selv når koden er halv C og følelsesmessig 100 prosent gjeld.

Verktøyhistorien er også viktig. WinDbg, WDK-eksempler, KMDF- og WDM-vaner, arbeidsflyter for driververifikator, symboltolkning, crash-dump-undersøkelse og den bredere feilsøkingskulturen rundt Windows kjernearbeid har fortsatt dype røtter i den eksisterende opprinnelige verdenen. Når et team er under press, er modenhet av diagnose ikke en dekorativ fordel. Det er slik arbeidet unngår å bli en sesong med arkeologi utført i offentligheten.

Det er også integreringsproblemet. Drivere lever ofte ved siden av gammel kode, brukermodushjelpere, eksisterende installasjonslogikk, leverandør SDKs, eller sikkerhetsverktøy som allerede er bundet til C- og C++-forutsetninger. C++ er ikke automatisk bedre i det abstrakte. Det er ofte bedre i det umiddelbare fordi det omkringliggende systemet allerede er opplært til å snakke det.

Det ugyldiggjør ikke Rust. Det betyr ganske enkelt at bevisbyrden endres avhengig av hvor komponenten sitter. En ny isolert modul er ett argument. En driverstabel tredd gjennom år med opprinnelige antagelser er en annen. Seriøse lag slutter å late som om det er samme situasjon.

Den usikre overflaten forsvinner ikke. Den beveger seg.

Dette er det viktigste punktet i hele samtalen. Usikker oppførsel forsvinner ikke fordi en del av kodebasen er skrevet i Rust. Den flytter. Den samles ved FFI-kanter, buffergrenser, synkroniseringssømmer, allokeringsbaner, enhetskontrakter og steder der driftsmodellen fortsatt er definert av Windows selv i stedet for av det fine ved et enkelt språk.

Derfor kan lag gjøre en dårlig handel hvis de feirer språket for tidlig og grensen for sent. En Rust-modul som går slurvt inn i eldre sjåførkode kan fortsatt arve det gamle kaoset, pluss en ny integreringsavgift. En C++-driver som isolerer den farlige overflaten, dokumenterer dens invarianter, holder IOCTL-semantikken kjedelig og forblir dypt testbar, kan skape færre totale overraskelser enn en mer fasjonabel arkitektur som utvidet grensen samtidig som den forteller dens dyd veldig trygt.

Voksendesignspørsmålet er derfor mindre og skarpere. Hvilken modul kan isoleres? Hvilket grensesnitt kan forbli stabilt? Hvilke eierskapsregler kan angis tydelig nok til at språkforskjeller ikke blir runtime-forvirring? Hvilken feilsøkingsbane vil fortsatt fungere når systemet allerede er i brann og ingen er i humør for filosofiske nyanser?

Disse spørsmålene er ikke anti-Rust. De er pro-overlevelse.

Hvordan ser bra ut

God Windows-kjerneteknikk høres ikke heroisk ut. Det høres rolig ut.

Den risikofylte veien er kjent. IOCTL-kontrakten er eksplisitt. Samtidighetshistorien er kjedelig på beste måte. Eierskapsforutsetningene er dokumentert. Crash-dump-analyse er mulig. Utrullingsplanen er ikke en tør. Førergrensen er smal nok til at noen utenfor det opprinnelige implementeringsteamet fortsatt kan forstå hva som er trygt å endre og hva som er trygt å la være.

Hvis Rust brukes, bør det være åpenbart hvorfor. Det skulle ikke være der fordi "fremtid" ble skrevet på et lysbilde med en sterk skrift. Den bør være der fordi en definert komponent virkelig drar nytte av språkets begrensninger og fordi teamet kan støtte feilsøkings-, bygge- og operasjonshistorien som følger av det valget.

Hvis C++ forblir i den kritiske veien, bør det ikke forsvares som skjebne. Det bør forsvares med bevis: verktøymodenhet, integreringskostnader, førerbegrensninger, teamerfaring og et målt syn på hvor ustabilitet faktisk ville komme fra hvis komponenten ble flyttet. C++ burde være i designet fordi det tjente setet, ikke fordi systemet var for slitent til å krangle.

Praktiske saker verdt å løse først

IOCTL-grenseopprydding

Mange førertunge systemer er mindre truet av deres smarteste kode enn av slurvete kontraktsgrenser. Å rydde opp i IOCTL-håndtering, validering, strukturversjon og bruker-til-kjerne-forutsetninger gir ofte sikrere resultater raskere enn ambisiøse omskrivinger gjør.

Smal driver-kjerne herding

En liten driverkjerne med eksplisitte invarianter og bedre eierskapsdisiplin er vanligvis verdt mer enn en enorm teoretisk migrasjon. Noen ganger skjer den herdingen i C++. Noen ganger gjør det en fremtidig Rust-komponent mulig. Uansett er gevinsten reell.

Bruker-modus ledsagere og verktøy

Det er her Rust ofte skinner uten dramatikk. Diagnoseverktøy, replay-verktøy, konfigurasjonsvalidatorer, fangstanalysatorer eller kontrollerte hjelpeprosesser kan bli klarere og tryggere uten å dra den mest sprø kjerneveien inn i en ny integrasjonsreligion før systemet er klart.

Hands-On Lab: Dekod en Windows IOCTL på den kjedelige måten

Windows-kjernen straffer lag som behandler kontrollkoder som dekorative heltall. La oss bygge et lite verktøy som dekoder en IOCTL-verdi slik at grensen slutter å være mystisk.

main.cpp

#include <cstdint>
#include <iomanip>
#include <iostream>

struct IoctlParts {
    std::uint32_t device_type;
    std::uint32_t access;
    std::uint32_t function;
    std::uint32_t method;
};

IoctlParts decode_ioctl(std::uint32_t code) {
    return IoctlParts{
        (code >> 16) & 0xFFFFu,
        (code >> 14) & 0x3u,
        (code >> 2) & 0x0FFFu,
        code & 0x3u
    };
}

int main() {
    constexpr std::uint32_t ioctl = 0x222004;
    const auto parts = decode_ioctl(ioctl);

    std::cout << "IOCTL 0x" << std::hex << std::uppercase << ioctl << "\n";
    std::cout << "device_type=0x" << parts.device_type << "\n";
    std::cout << "access=0x" << parts.access << "\n";
    std::cout << "function=0x" << parts.function << "\n";
    std::cout << "method=0x" << parts.method << "\n";
}

Bygge

På Windows med MSVC:

cl /O2 /std:c++20 main.cpp
.\main.exe

På Linux eller macOS med en kompilator på tvers av plattformer:

g++ -O2 -std=c++20 -o ioctl_decode main.cpp
./ioctl_decode

Hva dette lærer deg

Poenget er ikke aritmetikken. Poenget er at Windows arbeid på lavt nivå blir lettere i det øyeblikket skjult struktur slutter å bli behandlet som magi. Dekode grensen, navngi feltene, synliggjør kontrakten, og plutselig blir feilsøkingssamtalen kortere og mindre religiøs.

Testoppgaver for entusiaster

  1. Gjenskap den samme dekoderen i Rust og sammenlign ikke bare kodelengden, men klarheten til grensen du vil eksponere for resten av en driververktøykjede.
  2. Utvid dekoderen for å skrive ut menneskelesbare navn for METHOD_BUFFERED, METHOD_IN_DIRECT og relaterte verdier.
  3. Legg til en parser for en liste over IOCTL-koder fra en tekstfil og sorter dem etter enhetstype og funksjon.
  4. Bygg et lite fuzz-inndatasett med tilfeldige IOCTL-verdier og kontroller at dekoderen din holder seg stabil og kjedelig.
  5. Legg til en med vilje slurvete grenseantakelse, og inspiser deretter hvor raskt en "ufarlig" snarvei gjør hele verktøyet til en løgner.

Sammendrag

Rust er en reell forbedring i Windows lavnivåteknikk når den brukes til å begrense forvirring, avklare eierskap og krympe visse kategorier av feil som kan unngås. C++ forblir en reell og ofte berettiget standard når arbeidet er knyttet til eksisterende drivere, eksisterende verktøy, eksisterende feilsøkingskultur og driftsveier som fortsatt lever i et tungt innfødt økosystem.

Den virkelige jobben er ikke å velge en moralsk vinner. Den virkelige jobben er å designe grenser som forblir forståelige når systemet allerede er under press. I kjernearbeid er det forskjellen mellom ingeniørkunst og optimisme.

Referanser

  1. Windows driverdokumentasjon: Windows
  2. Definere I/O-kontrollkoder: https://learn.microsoft.com/en-us/windows-hardware/drivers/kernel/defining-i-o-control-codes
  3. Administrere maskinvareprioriteter og IRQL: https://learn.microsoft.com/en-us/windows-hardware/drivers/kernel/managing-hardware-priorities
  4. WDF-driverutviklingsoversikt: https://learn.microsoft.com/en-us/windows-hardware/drivers/wdf/
  5. Windows dokumentasjon for feilsøkingsverktøy: Windows
  6. Usikre Rust: Rust
Philip P.

Philip P. – CTO

Relaterte artikler

C++, Rust, og høyfrekvent handel: der deterministisk ventetid bestemmer argumentet

C++, Rust, og høyfrekvent handel: der deterministisk ventetid bestemmer argumentet

En praktisk artikkel om hvor C++ fortsatt eier den hete HFT-banen, hvor Rust virkelig hjelper, og hvordan disiplinerte lag trekker grensen mellom dem.

C++ vs Rust for systemmodernisering: omskrive, pakke inn eller la det være?

C++ vs Rust for systemmodernisering: omskrive, pakke inn eller la det være?

En moderniseringsguide som sammenligner C++ og Rust for systemarbeid, med fokus på omskrivingsomfang, FFI strategi, risiko og reell migrasjonsøkonomi.

C++ for AI Inferensmotorer: Hvorfor innfødt kode fortsatt er viktig i AI-stakken

C++ for AI Inferensmotorer: Hvorfor innfødt kode fortsatt er viktig i AI-stakken

En teknisk artikkel om hvorfor C++ fortsatt er viktig for AI inferensmotorer, native integrasjoner, minnekontroll og forutsigbar ytelse under belastn…

Tilbake til blogger

Kontakt

Start samtalen

Noen klare linjer er nok. Beskriv systemet, trykket og beslutningen som er blokkert. Eller skriv direkte til midgard@stofu.io.

01 Hva systemet gjør
02 Hva gjør vondt nå
03 Hvilken avgjørelse er blokkert
04 Valgfritt: logger, spesifikasjoner, spor, diff
0 / 10000
Ingen fil er valgt

En kortfattet oversikt fungerer perfekt her. Foretrekker du en samtale i stedet?