La version stable de Rust 1.27.1 est désormais disponible !
Bogue d'emprunts et faille de sécurité du côté de rustdoc corrigés

Le , par Songbird, Responsable Rust
Rust est un langage de programmation système axé sur la sécurité, la rapidité et la concurrence.

Pour mettre à jour votre version stable, il suffit d’exécuter la commande habituelle.

Code bash : Sélectionner tout
$ rustup update stable

Si vous ne disposez pas de rustup, vous pouvez en obtenir une copie sur la page de téléchargement du site officiel. N’hésitez pas également à consulter la release note de la 1.27.1 sur GitHub !

Patch : Faux positif sur les ressources empruntées

En Rust, les notions d’emprunt (borrowing) et de transfert (ownership) sont fondamentales et régissent la gestion des ressources. Ici, foo a l’ownership sur un objet Foo.

Code Rust : Sélectionner tout
1
2
3
fn main() { 
    let foo: Foo = Foo; 
}

Nous pourrions nous en servir par le biais d’une référence bar, à quelques exceptions près.

Code Rust : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
#[derive(Debug)] 
struct Foo; 
  
fn main() { 
    let foo: Foo = Foo; 
  
    // On emprunte l'objet `foo` en lecture seule. 
    let bar: &Foo = &foo; 
  
    super_foo_factory(foo); 
  
    println!("{:?}", bar); 
} 
  
// Ici, la fonction prend un paramètre dont la ressource 
// doit forcément être transférée. 
fn super_foo_factory(f: Foo) -> Foo { 
    /* ... On traite l'objet ... */ 
    f 
}
Code Rust : Sélectionner tout
1
2
3
4
5
6
7
8
error[E0505]: cannot move out of `foo` because it is borrowed 
  --> src/main.rs:10:23 
   | 
8  |     let bar: &Foo = &foo; 
   |                      --- borrow of `foo` occurs here 
9  |      
10 |     super_foo_factory(foo); 
   |                       ^^^ move out of `foo` occurs here

Je pense qu’on ne peut pas faire plus explicite. Le compilateur est capable de différencier un emprunt (en l’occurrence bar) d’un transfert (que je n’ai pas illustré ici avec une autre variable, mais qui peut aisément l’être grâce au paramètre f de la fonction super_foo_factory).

Seulement, comme pour le dernier bug en date causé par une révision de l’expression match, le compilateur ne semblait plus différencier les deux notions.

Code Rust : Sélectionner tout
1
2
3
4
5
6
fn main() { 
    let a = vec!["".to_string()]; 
    a.iter().enumerate() 
            .take_while(|(_, &t)| false) 
            .collect::<Vec<_>>(); 
}
Code Rust : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
error[E0507]: cannot move out of borrowed content 
    --> src/main.rs:4:30 
    | 
  4 |             .take_while(|(_, &t)| false) 
    |                              ^- 
    |                              || 
    |                              |hint: to prevent move, use `ref t` or `ref mut t` 
    |                              cannot move out of borrowed content 
  
error: aborting due to previous error

Ici, le compilateur nous renvoie une erreur affirmant que nous tentons de transférer une ressource empruntée et nous suggère d’effectuer un emprunt, ce qui est déjà le cas.

En réponse à cela, le problème a été corrigé dans la 1.27.1.

Pour ceux qui se poseraient la question :

  • enumerate() crée un itérateur contenant un tuple de deux valeurs (index, valeur) par élément;
  • take_while() crée un nouvel itérateur en accumulant les éléments matchant le prédicat (i.e. tant que le prédicat renvoie true, les éléments sont accumulés);
  • collect() crée une nouvelle collection avec les éléments triés par la dernière méthode.


Patch: Exploitation possible du système de plugin de rustdoc

Ce 3 juillet, Red Hat a rapporté une vulnérabilité affectant le comportement de rustdoc. En effet, le système de plugin de rustdoc dispose d’un répertoire par défaut (i.e. /tmp/rustdoc/plugins) dans lequel les plugins seront chargés. Ce dernier pouvant être accédé en écriture, sans restrictions spécifiques sur la plupart des plateformes, il est possible d’y ajouter une bibliothèque dynamique pour ainsi exécuter du code arbitraire au lancement de l’outil.

Pour tenter de corriger progressivement la faille, il a été décidé que ce chemin par défaut serait supprimé et que l’utilisateur serait dans l’obligation de fournir explicitement un chemin dans lequel charger les plugins. L’équipe Rust prévoit de supprimer intégralement la fonctionnalité pour la version 1.28.0.

Source

Le blog de l'équipe Rust


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Songbird Songbird - Responsable Rust https://www.developpez.com
le 23/07/2018 à 3:31
La version stable de Rust 1.27.2 est désormais disponible !
Le borrow checker, la contre-attaque

Rust est un langage de programmation système axé sur la sécurité, la rapidité et la concurrence.

Pour mettre à jour votre version stable, il suffit d’exécuter la commande habituelle.

Code : Sélectionner tout
$ rustup update stable
Si vous ne disposez pas de rustup, vous pouvez en obtenir une copie sur la page de téléchargement du site officiel. N’hésitez pas également à consulter la release note de la 1.27.2 sur GitHub !

Les retombées du patch d’ergonomie semblent, décidément, donner du fil à retordre à l’équipe, la poussant une nouvelle fois à publier une version mineure spécialement pour le borrow checker (encore lui ! ).

Passons tout de suite à la révision !

Patch: Transmutation de lifetime illégale

Introduction

Si je devais résumer, vulgairement, le concept :
Le concept de lifetime explique que chaque référence d’une ressource dispose d’une durée de vie, déterminée à la compilation, qui peut être raccourcie mais pas dépassée. Implicitement ou non, le compilateur a toujours recours à ce concept.

Voilà pour la définition officieuse que je pourrais en faire.

Autrement dit, un développeur a, explicitement, affaire aux lifetimes seulement lorsque le compilateur n’est pas capable de savoir quelle ressource est censée survivre. Dans le premier exemple, aucun doute, rustc appliquera son comportement par défaut sans importuner qui que ce soit.

Code Rust : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
12
fn main() { 
    // On créé notre ressource. 
    let a: String = "Hello".to_owned(); 
    // On conserve notre emprunt. 
    let b: &str = foo(&a); 
} 
  
// `foo` emprunte `a` puis renvoie la référence. 
// Ici, `a` survit à `foo`, il n'y a pas d'ambiguïté. 
fn foo(a: &str) -> &str { 
    a 
}

Pourquoi ?

Il n’y a qu’une seule référence &str passée en paramètre et la fonction renvoie également une référence du même type. Une ressource créée dans ce contexte ne pouvant, de toute façon, survivre à l’exécution de la fonction il est logiquement impossible que la référence puisse provenir d’autre part que du paramètre soumis.

Pour le second exemple, dont la complexité sous-jacente dépasse largement l’objectif de ce billet, le comportement par défaut du compilateur est court-circuité et l’intervention du développeur est requise.

Code Rust : Sélectionner tout
1
2
3
4
5
6
7
8
9
fn main() { 
    let a: String = "Hello".to_owned(); 
    let b: String = "there!".to_owned(); 
    let c: &str = foo(&a, &b); 
} 
  
fn foo(a: &str, b: &str) -> &str { 
    b 
}
Code Rust : Sélectionner tout
1
2
3
4
5
6
7
error[E0106]: missing lifetime specifier 
 --> src/main.rs:7:29 
  | 
7 | fn foo(a: &str, b: &str) -> &str { 
  |                             ^ expected lifetime parameter 
  | 
  = help: this function's return type contains a borrowed value, but the signature does not say whether it is borrowed from `a` or `b`

Il suffit ici de préciser que b dispose d’une durée de vie supérieure à l’exécution de cette fonction.

Code Rust : Sélectionner tout
1
2
3
4
5
6
7
8
9
fn main() { 
    let a: String = "Hello".to_owned(); 
    let b: String = "there!".to_owned(); 
    let c: &str = foo(&a, &b); 
} 
  
fn foo<'a>(a: &str, b: &'a str) -> &'a str { 
    b 
}

Problème réglé. La lifetime de a a été implicitement définie par le compilateur. Voilà pour l’entrée en matière.

Maintenant, le patch !

Une durée de vie, déterminée à la compilation, peut être raccourcie mais pas dépassée.

Le bug qui nous intéresse vient casser cette règle, passant sous silence des références potentiellement invalides.

Code Rust : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
// Le problème réside dans le fait que 
// `t` est assigné à une lifetime `'a` 
// qui est plus courte que `'b`. 
// `t` ne devant survivre à l'exécution, 
// le compilateur doit renvoyer une erreur. 
fn transmute_lifetime<'a, 'b, T>(t: &'a (T,)) -> &'b T { 
    match (&t, ()) { 
        ((t,), ()) => t, 
    } 
    /* 
    Que l'on pourrait simplifier en: 
    match &t { 
        (t,) => t, 
    } 
    */ 
} 
  
fn main() { 
    let x = { 
        let y = Box::new((42,)); 
        transmute_lifetime(&y) 
    }; 
  
    println!("{}", x); 
}

La 1.27.2 corrige donc ce comportement et fait planter l’analyse.
Code Rust : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
  
 --> src/main.rs:7:11 
  | 
7 |     match (&t, ()) { 
  |           ^^^^^^^^ 
  | 
note: first, the lifetime cannot outlive the lifetime 'a as defined on the function body at 6:1... 
 --> src/main.rs:6:1 
  | 
6 | fn transmute_lifetime<'a, 'b, T>(t: &'a (T,)) -> &'b T { 
  | ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ 
  = note: ...so that the types are compatible: 
          expected (&&(T,), ()) 
             found (&&'a (T,), ()) 
note: but, the lifetime must be valid for the lifetime 'b as defined on the function body at 6:1... 
 --> src/main.rs:6:1 
  | 
6 | fn transmute_lifetime<'a, 'b, T>(t: &'a (T,)) -> &'b T { 
  | ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ 
note: ...so that reference does not outlive borrowed content 
 --> src/main.rs:8:23 
  | 
8 |         ((t,), ()) => t, 
  |

À propos de la fréquence de publication des correctifs

De nombreux utilisateurs ont remarqué que la publication des nouvelles versions (et surtout des correctifs) du langage se faisait de plus en plus régulière et se sont questionnés sur la raison.

Trois points en sont ressortis :

  1. Les moyens techniques (quantité de bande passante) de l’infrastructure se sont améliorés ;
  2. L’âge et l’état (relativement en déclin) du borrow checker ;
  3. Une équipe Release, dédiée à la préparation des publications des nouvelles versions, a vu le jour, facilitant davantage les modifications incrémentales.

Le borrow checker ne répondant plus vraiment aux besoins actuels, et causant un nombre croissant de problèmes en terme de maintenabilité, les nombreux correctifs viennent pallier la perfectibilité de ce dernier. En parallèle, une refonte partielle du compilateur est prévue, en espérant que cela nous permette (peut-être !) de bénéficier de messages d’erreurs encore plus précis et d’un système de vérifications plus rigoureux.

Source



Voir aussi
Avatar de Songbird Songbird - Responsable Rust https://www.developpez.com
le 06/08/2018 à 5:10
La version stable de Rust 1.28 est désormais disponible !
Allocateur(s) et optimisation de la mémoire

Rust est un langage de programmation système axé sur la sécurité, la rapidité et la concurrence.

Pour mettre à jour votre version stable, il suffit d’exécuter la commande habituelle.

Code : Sélectionner tout
$ rustup update stable
Si vous ne disposez pas de rustup, vous pouvez en obtenir une copie sur la page de téléchargement du site officiel. N’hésitez pas également à consulter la release note de la 1.28 sur GitHub !

Quoi de neuf ?

Les événements passés, d’une contre-attaque ( !) matée, laissent désormais place à une nouvelle version majeure de Rust s’axant principalement sur la mémoire, autant sur sa gestion directe (optimisation de certains comportements que nous verrons plus bas) qu’indirecte (manipulation d’outils/services proposés permettant d’adapter cette gestion en fonction des besoins).

Allons-y !

Personnalisation de l'allocateur global

Si vous n’avez qu’une vague idée de ce à quoi, structurellement, un allocateur mémoire pourrait ressembler, en voici un résumé:

Il existe au moins deux "types" d’allocateurs:

  1. Les allocateurs système, qui disposent d’une implémentation native de malloc, vous permettant ainsi d’effectuer les appels système désirés. C’est, en quelque sorte, l’interaction classique entre un programme et le reste de son environnement (concernant la gestion de la mémoire, tout du moins);
  2. Les allocateurs personnalisés, qui peuvent représenter tout ce que vous pourriez imaginer pour organiser le contenu de votre mémoire, son allocation, sa libération et sa (dé)fragmentation. Les allocateurs personnalisés peuvent alors tout aussi bien proposer une implémentation de malloc avec des spécifications différentes, adaptées à un besoin très spécifique, tout comme créer un ensemble d’outils génériques offrant une alternative à l’implémentation système. Pour ne citer que l’un d’entre eux : je vous présente jemalloc !


jemalloc

Actuellement utilisé par le projet Rust, il propose des outils dédiés à l’analyse des performances. Par exemple, cet allocateur ne dénature (ou ne supprime) pas l’implémentation de malloc mais l’améliore pour en obtenir des résultats plus intéressants.

Intégration à Rust

Avec la venue de la 1.28, il est désormais possible de choisir l’allocateur à la compilation. Notez que, pour la plupart des OS, l’allocateur choisi par rust est jemalloc et peut être remplacé par l’allocateur du système grâce à la structure std::alloc::System ainsi qu’à l’attribut #[global_allocator].

Code Rust : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
12
use std::alloc::System; 
  
#[global_allocator] 
static GLOBAL: System = System; 
  
fn main() { 
    let mut v = Vec::new(); 
    // Cette allocation sera effectuée 
    // par l'allocateur du système d'exploitation 
    // et non jemalloc. 
    v.push(1); 
}

Pour diverses raisons, vous pourriez également avoir besoin d’utiliser un allocateur fait-maison pour combler les besoins d’une situation délicate (notamment dans le cas où votre programme est très gourmand en RAM sur le long terme, effectuant de très nombreuses petites allocations et ralentissant alors le fonctionnement de l’implémentation classique de malloc). La bibliothèque standard propose le trait GlobalAlloc pour fournir les services nécessaires à la bonne utilisation de l’allocateur et permettre son enregistrement en tant qu’allocateur global lors l’exécution.

Amélioration de la formulation des erreurs de formatage

Cas très spécifique pour cette révision, puisqu’elle consiste à améliorer l’intelligibilité du diagnostic fourni par le compilateur lorsque l’utilisateur soumet un nom d’argument invalide dans son modèle de formatage.

A titre informatif, le formatage d’une chaîne de caractères en Rust par le biais d’arguments positionnels nommés (et non indexés) se déroule comme suit:

Code Rust : Sélectionner tout
println!("{bar}{foo}", foo = ", world!", bar = "Hello")

foo et bar ne sont pas initialisés au préalable; l’ordre d’initialisation n’est pas important.

Cependant, les identificateurs utilisés pour le formatage ne peuvent pas être préfixés par un underscore (_) et le compilateur nous renvoyait jusqu’ici un message assez peu… compréhensible.

Code Rust : Sélectionner tout
1
2
3
4
5
6
format!("{_foo}", _foo = 6usize); 
  
error: invalid format string: expected `'}'`, found `'_'` 
  | 
2 |     format!("{_foo}", _foo = 6usize); 
  |             ^^^^^^^^

Si nous analysons le message "tel quel", on remarque que le compilateur reste plutôt évasif. Le problème d’exhaustivité tend à se régler dans cette nouvelle version grâce à un message d’erreur spécifique à ce cas.

Code Rust : Sélectionner tout
1
2
3
4
5
6
error: invalid format string: invalid argument name `_foo` 
  | 
2 |     let _ = format!("{_foo}", _foo = 6usize); 
  |                       ^^^^ invalid argument name in format string 
  | 
  = note: argument names cannot start with an underscore

Mieux !

Optimisation des types numériques non signés

Une nouvelle collection de wrappers, censés représenter des entiers non signés et non nuls, pointe le bout de son nez pour amorcer une optimisation ciblant la mémoire consommée par les enums. Le cas le plus pertinent reste le stockage d’un entier non signé dans un conteneur Option (ou tout autre type d’entier non signé).

Code Rust : Sélectionner tout
assert_eq!(std::mem::size_of::<Option<u8>>(), 2);

Ici, 1 octet est réservé pour le type Option et le second l’est pour le primitif u8. Grâce aux nouveaux types NonZero, le compilateur est capable d’épargner la machine de la consommation de la structure.

Comment ?

Je ne suis, personnellement, pas parvenu à trouver d’explications officielles. Toutefois, m’est avis que rustc doit se permettre de ne pas effectuer d’alignement mémoire pour économiser le moindre octet. J’en suis arrivé à cette conclusion, car :

  • un entier u16 est codé sur 2 octets;
  • une énumération (ne contenant que des constantes simples) n’est codée que sur un seul octet;
  • size_of devrait renvoyer 3.


Code Rust : Sélectionner tout
assert_eq!(std::mem::size_of::<Option<u16>>(), 3);

Et… ce n’est pas le cas.

Code Rust : Sélectionner tout
1
2
3
thread 'main' panicked at 'assertion failed: `(left == right)` 
  left: `4`, 
 right: `3`', src/main.rs:4:5

Maintenant, utilisons la structure NonZeroU16.

Code Rust : Sélectionner tout
assert_eq!(std::mem::size_of::<Option<NonZeroU16>>(), 3);

… ça ne tient toujours pas.

Code Rust : Sélectionner tout
1
2
3
thread 'main' panicked at 'assertion failed: `(left == right)` 
  left: `2`, 
 right: `3`', src/main.rs:4:5

Ma théorie tombe donc à l’eau, j’ignore où est passé le dernier octet sur lequel est censée être codée l’instance de l’énumération.

En attendant d’avoir la réponse, les performances sont tout de même au rendez-vous !

Mise à jour de Cargo

Enfin, nous terminerons sur une révision plutôt courte apportée à cargo.

Il n’est désormais plus possible de publier une crate dont le manifest build.rs modifie le répertoire src lors du processus de compilation. src sera dorénavant considéré comme une ressource immuable lorsque le code est distribué.

Annexe

Comme précisé plus haut, je tenais à laisser en annexe un dépôt github présentant des architectures différentes d’allocateurs. L’auteur fournit des explications et des illustrations qui méritent clairement de s’y intéresser ne serait-ce que par curiosité.

Note: L’allocateur est écrit en C++, mais la documentation se suffit à elle-même.

Bonne lecture !

Source(s)

Avatar de Pyramidev Pyramidev - Membre expert https://www.developpez.com
le 06/08/2018 à 11:30
Salut,

Concernant les tailles de Option<u16> et Option<NonZeroU16>, l'explication est la suivante :
  • Option<u16> contient 65537 valeurs possibles (None et les valeurs de Some(0) à Some(65535)), donc ne peut pas tenir sur seulement 2 octets, quelle que soit l'implémentation.
  • Option<NonZeroU16> contient 65536 valeurs possibles (None et les valeurs de Some(1) à Some(65535)), donc peut tenir sur seulement 2 octets, si on choisit la bonne implémentation.


À mon avis, sous le capot, Option<NonZeroU16> contient un entier n entre 0 et 65535. Si n == 0, alors cela correspond à None. Sinon, cela correspond à Some(n). Je n'ai pas vérifié, mais ce serait l'implémentation la plus logique.
Avatar de Songbird Songbird - Responsable Rust https://www.developpez.com
le 11/08/2018 à 21:58
Hello,

Effectivement, je n'y avais pas pensé. Merci pour l'élément de réponse !

 
Contacter le responsable de la rubrique Accueil