昨日，微软安全响应中心（MSRC）团队在官网更新文章，就近日提出的最新计划，即未来将使用Rust作为C、C++以及其他编程语言的替代方案以改善应用程序的安全性的计划，从空间内存安全、时间内存安全、数据竞争等方面进行了进一步的深入补充。首席安全技术经理Gavin Thomas表示，开发人员的核心工作不是担心安全性，而是做好功能开发，首先需要启用一种“不会引入内存安全隐患”的开发语言。显然，这一次的主角是Rust。

过去12年，约70%的微软补丁针对内存安全漏洞

如今，内存安全漏洞已成为黑客攻击的主要方向。据微软最新调查数据显示，在过去12年里，约70%的微软补丁都是针对内存安全的。

自2004年以来，微软安全响应中心(MSRC)已经对每一个报告的微软安全漏洞进行了分类。从所有的分类中，人们得出了一个令人惊讶的事实：正如Matt Miller今年在BlueHat IL的演讲中所讨论的那样，大多数修复的漏洞和分配的CVE都是由开发人员无意中将内存损坏错误插入到其C和C++的代码中造成的。这两种存在内存安全风险的编程语言允许开发人员在代码被执行的地方对内存地址进行细粒度控制。开发人员内存管理代码中的一个错误可能导致大量内存安全漏洞，攻击者便可利用这些错误造成具有危险性和侵入性的后果，比如远程代码执行(RCE)和权限升级漏洞（EoP）。

数据来源：微软安全响应中心网站

近年来，随着微软增加其代码库并在代码中使用更多的开源软件，这一问题并没有得以解决，反而变得更糟，而微软也并不是唯一一个暴露出内存安全漏洞的企业。

在官网发布的最新文章中，微软安全响应中心（MSRC）团队就如何解决内存安全问题进行了如下分析，

为了解决内存安全问题，需要采取几种不同的方式。C++中的“现代”构造（例如span）能够在一定程度上预防某些内存安全问题。此外，我们应尽可能使用其它现代C++功能（例如智能指针）。然而，现代C++仍然不具备全面的内存安全与数据争用机制。更重要的是，如果程序员不加以运用，这些功能本身将毫无意义；而且这些功能在规模较大，且较为模糊的代码库可能也无法奏效。再者，C++缺乏能够在安全抽象当中打包不安全代码的良好工具，这意味着虽然能够在本地级别强制执行正确的编码实践，但开发人员仍很难在C或者C++当中构建出能够安全组合的软件组件。除此之外，我们应尽可能将软件最终迁移至具备全面内存安全特性的语言当中，例如，通过运行时检查以及垃圾回收机制，实现内存保护的C#或者F#。毕竟，内存管理是一项极为复杂的功能，最好是确保必要时才与其打交道。

Rust的优势

多年来，微软始终在寻找更安全的C和C++的替代品。2016年6月，微软曾开源“Checked C”，这是C语言的一个扩展，它带来了一些解决安全问题的新特性，但依然没有彻底解决问题。由于自动内存管理，Microsoft还有其他更安全的编程语言，C＃和.NET系列是一个，编译为JavaScript的TypeScript是另一个。这些语言被Microsoft及其客户广泛使用，但它们无法满足所有需求。对此，微软安全响应中心（MSRC）首席安全技术经理Gavin Thomas表示：“如果开发人员能够将确保内存安全的 .NET，C＃等语言与高效的C ++结合起来，那就太好了。也许我们可以。”因此，Rust成为了这项计划的主角。

据了解，Rust创建于2006年，被创建者Mozilla称为“C / C ++的替代品”。最初，它只是Mozilla的一个研究项目，旨在开发更安全、快速的编程语言以重写Firefox浏览器，大多数开发人员认为它是一个理论项目，而如今Rust正在逐步证明自己的实力。2016年8月发布的Firefox 48采用了以Rust构建的mp4轨道元数据解析器，该解析器首次在Windows和32位Linux桌面提供。最近，Brave浏览器用Rust替换了最初用C ++编写的广告拦截组件。Cloudflare和Dropbox目前也在生产系统中运行Rust。

Rust的显著特征包括：

零成本抽象
移动语义
保证内存安全
没有数据竞争的线程
基于特质的泛型
模式匹配
类型推断
最小运行时间
高效的C绑定

Rust团队表示，它具有丰富的系统和所有权模型，可确保内存安全和线程安全。此外，它还提供文档，包含集成的包管理器和其他有助于提高开发人员工作效率的工具。更为重要的是，Rust从一开始就设计了防止内存损坏的漏洞。它的语法也更为简单，由它编写的应用程序不会产生相同数量的错误，因此开发人员可以专注于扩展其应用程序，而非进行持续的维护工作。

根据StackoverFlow2019年开发者调查报告的数据显示，Rust是如今最受欢迎的编程语言，因此更容易招募到相关开发人员。相比之下，在这项调查中，受访者将C列为第四个最讨厌的编程语言，C++则排名第九。

StackoverFlow2019年开发者调查报告数据

据了解，目前，除 Mozilla 之外，全球有数百家公司正在使用 Rust，如 Amazon、Atlassian、Dropbox、Facebook、Google、Microsoft、Red Hat 和 Reddit 等。在国内，百度、字节跳动、 PingCAP、蚂蚁金服、知乎、SenseTime等企业也都在使用Rust。

Rust存在的问题

然而，Rust仍存在一些不足。据先前的一项调查显示，它需要改进的方面包括：

更好的人体工程学
更好的文档
更好的库支持
更简单的学习曲线
更多的IDE支持

一些用户在谈及为何不使用Rust的原因时表示，“尽管学习曲线和语言的复杂性仍是人们学习Rust的阻碍，但令许多人产生共鸣的一个方面是，只是还没有足够活跃的采用Rust的商业项目让人们参与其中……对于一些人来说，只要有强烈的动机，他们就可以克服Rust的学习曲线。”此外，受缺少IDE支持的影响，约10%的用户正在寻找更好的IDE支持，而5%的老用户因此停用Rust。

对于这项或将构建新的语言生态的计划，微软安全响应中心（MSRC）首席安全技术经理Gavin Thomas表示，“我们是一个响应组织，但我们也发挥积极的作用“，“我们应该从一开始就努力防止开发人员引入问题，而不是为解决问题提供指导和工具“。目前，关于何时在其产品或云服务上使用Rust，微软还没有具体透露。

相关文章：
A proactive approach to more secure code
We Need a Safer Systems Programming Language
明明很好很强大，Rust 却还是那么小众

创作场景

微软计划使用 Rust 取代 C 和 C++