谷歌宣布支持使用Rust开发Chromium

谷歌计划在其开源浏览器项目 Chromium 中支持使用第三方 Rust 库，这是对 Rust 编程语言及其安全特性的一次重大认可。

在 1 月份发布的一篇博文中，来自 Chrome 安全团队的 Dana Jansens 表示，谷歌的软件工程师已经开始致力于将 Rust 工具链应用于其构建系统。希望在年底之前将 Rust 代码包含到 Chrome 二进制文件中。

“我们将 Rust 引入 Chromium 的目标是提供一种更简单（无 IPC）且更安全（总体上包含更少的复杂 C++ 代码，同时在沙盒中也没有内存安全漏洞）的方法来满足二个原则，从而加快开发速度（需要写的代码更少、设计文档更少、安全审查更少）并且提升 Chrome 的安全性（增加了没有内存安全漏洞的代码的行数，降低了代码的错误密度）”，Jansens 解释道。

Rust 在不写成不安全的情况下，可以避免内存安全缺陷，而内存安全缺陷占 Chromium 中发现的严重安全漏洞的 70%。Rust 语言不能保证代码没有漏洞，但它可以保证潜在的缺陷要少得多。

值得一提的是，谷歌也一直致力于一种语言来提升 C++ 中的内存安全，创建者 Bjarne Stroustrup 坚称当符合 ISO C++ 标准并遵守静态分析器所强制执行的特定标准时，这种语言是内存安全的。

Jansens 感谢 Mozilla 一直支持 Rust 的开发直到它成熟并吸引了足够的外部支持来建立其自己的基础。Mozilla 长期以来一直得到谷歌的资金支持，作为回报，谷歌成为 Mozilla 的火狐浏览器的默认搜索引擎。但由于谷歌浏览器侵蚀了火狐浏览器的使用率，因此 Mozilla 正寻求其它资金来源。

Jansens 解释道，Rust 和 C++ 是 Chromium 的基础，可以通过 cxx、autocxx bindgen、cbindgen、diplomat 和 crubit 等工具进行交互。这些工具提供了一种安全的方法来从 C++ 代码调用 Rust 代码，反过来也一样。但是由于这两种语言各自的设计不同，它们之间的互操作性也存在限制。

Jansens 解释道，“例如，Rust 通过静态分析来保证临时内存安全。这个静态分析依赖两个输入：生存周期（推断或显式写入）和互斥可变性。后者与 Chromium 的大部分 C++ 的编写方式不兼容。”

Jansens 观察到，由于 Rust 和 C++ 遵循不同的规则，因此两者之间的互操作很容易出错。这就是为什么谷歌采取了一种谨慎方案的原因。

最初，谷歌想支持 C++ 到 Rust 的单项互操作性来控制依赖图的形状。Jansens 解释道，“Rust 不能依赖于 C++，因此它无法理解 C++ 类型和函数，除非通过依赖注入。这样的话，Rust 就不能在任意 C++ 代码中调用，只能在从 C++ 通过 API 传递的函数中调用。”

目前，Chromium 只能通过第三方库来暴露给 Rust。

尽管如此，随着谷歌对 crubit 等工具的开发和维护来提高 C++ 和 Rust 之间的双向互操作性，其对 Rust 的不断深化投入有望大大丰富 Rust 包生态系统。

谷歌已经将 Rust 引入安卓生态系统。微软 Azure CTO Mark Russinovich 呼吁在新项目中使用 Rust 而不是 C++。Linux 内核已经增加了 Rust 支持。甚至是不愿意使用其不能控制的技术的苹果公司都已经一直在用 Rust。®

Thomas Claburn 位于旧金山湾区，为 The Register 提供软件开发、DevOps、计算机安全等服务。

原文链接：

Google polishes Chromium code with a layer of Rust（https://www.theregister.com/2023/01/12/google_chromium_rust）

声明：本文为 InfoQ 翻译，未经许可禁止转载。