上周，MSRC(微軟安全響應中心)透露出擁抱Rust的打算，隨后他們將這個話題擴展為一個系列，進一步闡述了使用安全的系統編程語言的的必要性，以及選擇Rust的原因。

在該系列最新一篇文章中，MSRC團隊首席云開發布道師Ryan Levick解釋了為什么他們認為Rust編程語言目前是業界采用的最佳選擇，不僅僅是因為它能夠以內存安全的方式編寫系統級程序。

“首先，已經有很多出色的內存安全語言在微軟內外廣泛使用，包括.NET語言(像是C#或F#)和其他語言(例如Swift、Go和Python)。我們鼓勵目前使用C或C++的人將其中任意一種語言納入考慮。不過現在談論的是對安全的系統編程語言的需求，此類工作負載需要C、C++和Rust能夠提供的速度和可預測的性能。通過垃圾回收實現內存安全的語言不是系統編程的理想選擇，因為它們的運行時間會導致不可預測的性能和不必要的成本。”

性能和控制

Levick指出，最好先考慮一下無法從C和C++放棄的東西——性能和控制，就能更清楚地明白Rust為什么是一個好的選擇。像C和C++一樣，Rust有一個最小的可選“運行時”。Rust的標準庫同樣依賴于libc，但標準庫也是可選的，因此在沒有操作系統的平臺上運行也是可能的。

仍然像C和C++一樣，Rust為程序員在何時分配內存以及分配內存的多少上提供了精細的控制，使程序員能夠非常清楚地知道程序每次運行時的確切執行方式。在原始速度、控制和可預測性方面，這對于性能來說意味著什么?那就是，“Rust、C和C++可以用類似的術語來思考”。

安全

Rust與C和C++的區別在于其強大的安全保障，某種程度上來說Rust完全是內存安全(memory safe)的。正如之前那篇文章提到的，微軟大約70%的安全問題是內存安全問題。如果這些軟件用Rust編寫，那么這70%的安全問題很可能就不存在。

在系統編程中，有時程序員必須執行無法靜態驗證為安全的操作。Rust為程序員提供了將這些操作封裝在安全抽象中的工具，這意味著曾經降級為代碼注釋或約定的東西可以由Rust編譯器靜態強制執行。

不僅僅是性能與安全

Rust最初引起MSRC的興趣正是由于上述性能與安全方面的特性。但它的的魅力不止于此，已經有其他微軟團隊開始采用Rust，主要出于以下原因：

根據微軟內部調查，采用它的最主要原因是“精密性”(correctness)——“if it compiles, then it works”。

Rust靜態地強制執行程序的許多屬性，已經遠超內存安全性，還包括空指針安全性和數據爭用安全性(即沒有來自兩個或多個線程的一塊內存的不同步訪問)。

Rust的豐富類型系統使編寫富有表現力的程序成為可能。具有相關數據的枚舉和強大的trait系統等概念進一步強化了Rust的目標，即盡可能使程序無錯誤。

Rust現有的社區對該語言有很大益處。雖然Rust仍然是一種年輕語言，但它擁有一個健康的生態系統，既能夠促進開源社區發展強大，又能夠支持生產用戶。

Levick表示有足夠的理由相信Rust會有一個光明的未來，“雖然現在大規模采用Rust還為時過早，但早期采用Rust通常是非常積極且正面的”。他們相信Rust在編寫安全的系統軟件時會改變游戲規則。Rust提供編寫底層系統所需的性能和控制，同時使軟件開發人員能夠編寫更健壯、安全的程序。

不過，MSRC在研究Rust時發現了一些問題，其中包括如何規范Rust的“不安全”(unsafe)超集的使用，缺乏與C++的一流互操作性，以及與現有Microsoft工具的互操作性。這確實對微軟采用Rust提出了挑戰，但MSRC還是滿懷期待：“我們對這些可能性感到興奮。雖然還有許多關于Rust如何適應整個Microsoft工程的問題需要弄清楚，但我們鼓勵其他人一同加入，認真考慮這門語言，以滿足他們的系統編程需求。”

MSRC博客原文：https://msrc-blog.microsoft.com/2019/07/22/why-rust-for-safe-systems-programming/