第三届中国 Rust 开发者大会 利用 Rust 重塑移动应用开发 陈东 Aaron Chen CTO AccountLabs Rust China Conf 2023 2023 移动应用开发有那些选择？ 1. Native 2. Flutter 3. React Native ？ 利用 Rust 重塑移动应用开发 React Native is an open-source codebase - Hot reload - Rendering Engine 利用 Rust 重塑移动应用开发 跨平台开发的优势和局限性 Pros: - Fast - Single Codebase - Third-party support (Javascript better than Dart) 利用 Rust 重塑移动应用开发 跨平台开发的优势和局 限性 Cons: - Existing Codebase 跨平台开发到到底 应该跨什么？ UI or Logic ? 利用 Rust 重塑移动应用开发 Rust 在移动端应 用的价值 Rust is the only advanced choice for cross platform development. 利用 Rust 重塑移动应用开发 Rust 的特点 Why Rust? - Cross platform

wikipedia.org/wiki/System_programming 系统编程 • 对硬件的控制（嵌入式, OS） • 对系统底层的控制（OS, kernel, driver） • 对CPU和内存的高效利用（Server, OS） • 对运算性能的高要求 • 对系统安全和内存安全的强需求 重点项目&热门领域 • 大数据 • 云计算 • 物联网 • 航空航天 • 超级计算机 • 科学运算/机器学习 靠 谱 你能买最新硬件，对手也能，无助于提升竞争力 物联网 • 需要大批量部署，必须控制硬件成本 • 受限于成本控制，硬件性能不强 • 受限于电池供电，功耗不能高 这就要求系统和应用软件要高效利用硬件 程序运行在VM上，或后台跑GC 白白浪费了宝贵的CPU和内存资源 Rust在系统编程领域 面临极其强大的竞争对手 嵌入式 C/Rust 系统编程 C/C++/C++1x/Rust Web开发 极小的运行时开销（与C语言相当） • Zero-cost abstractions • 无垃圾收集器（GC） • 无虚拟机（JVM/.Net） • 无解释器（Python/JS） • 运行效率很高（与C语言相当） • 充分高效利用CPU和内存等系统资源 零运行时 零开销原则/zero-overhead principle • What you don't use, you don't pay for • What you

的一些问题出在用户的使用错 误，即文档、API、等相关说明的缺失； • 37.2%的漏洞在于实现时的系统内存错误，其中19.4%是buffer问题，17.7%是资源管理问题； • 对于CVSS评分为 7.0 - 10.0 的严重错误中，只有 3.57% - 11.11% 的漏洞是密码学相关，意味着其他的 漏洞更多出自系统内存错误以及其他分类； • 密码系统问题发现时间长，中位数为4.18年； 18年； • 大型的C/C++项目很难保证代码安全性； • 以 OpenSSL 为例，平均每1000行代码就会引入一个攻击点，具有安全漏洞。 密码系统实现的潜在问题 Potential Problems of Cryptography Systems Rust China Conf 2022 – 2023, Shanghai, China • 数据来源于 OpenSSL 页面 Vulnerabilities 内存损坏，占总问题 的 43.2%，High 及 Critical 问题的 46.7%。 Low Medium High Critical Total 解引用空指针 0 6 1 0 7 协议漏洞 1 0 0 0 1 实现逻辑错误 7 5 4 1 17 计算溢出 0 0 1 0 1 缓冲区溢出 0 1 3 1 5 内存损坏 0 2 1 1 4 指令注入 0 0 0 2 2 Total

看，这是一个神秘的编程领域，只为浸润多年的极少数人所触及，也只有他们能避开那些臭名 昭著的陷阱。即使谨慎的实践者，亦唯恐代码出现漏洞、崩溃或损坏。 Rust 破除了这些障碍：它消除了旧的陷阱，并提供了伴你一路同行的友好、精良的工具。想 要 “深入” 底层控制的程序员可以使用 Rust，无需时刻担心出现崩溃或安全漏洞，也无需因为 工具链不靠谱而被迫去了解其中的细节。更妙的是，语言设计本身会自然而然地引导你编写出 可靠的代 已经在从事编写底层代码的程序员可以使用 Rust 来提升信心。例如，在 Rust 中引入并行是相 对低风险的操作，因为编译器会替你找到经典的错误。同时你可以自信地采取更加激进的优 化，而不会意外引入崩溃或漏洞。 但 Rust 并不局限于底层系统编程。它表达力强、写起来舒适，让人能够轻松地编写出命令行 应用、网络服务器等各种类型的代码——在本书中就有这两者的简单示例。使用 Rust 能让你 把在一个领域 猜测。用户好像无法退出啊！ 用户总能使用 ctrl-c 终止程序。不过还有另一个方法跳出无限循环，就是 “比较猜测与秘密数 字” 部分提到的 parse：如果用户输入的答案不是一个数字，程序会崩溃。我们可以利用这一 点来退出，如下所示： $ cargo run Compiling guessing_game v0.1.0 (file:///projects/guessing_game) Finished

，只为浸淫多 年的极少数人所触及，也只有他们能避开那些臭名昭著的陷阱。即使谨慎的实 践者，亦唯恐代码出现漏洞、崩溃或损坏。 Rust 破除了这些障碍，其消除了旧的陷阱并提供了伴你一路同行的友好、精良 的工具。想要 “深入” 底层控制的程序员可以使用 Rust，无需冒着常见的崩 溃或安全漏洞的风险，也无需学习时常改变的工具链的最新知识。其语言本身 更是被设计为自然而然的引导你编写出在运行速度和内存使用上都十分高效的 name 本身是 String 类型时，name.into() 不会做任何转换，代价为零。 Cow: Cow 的设计目的是提高性能（减少复制）同时增加灵活性，因为大部分 情况下，业务场景都是读多写少。利用 Cow，可以用统一，规范的形式实现， 需要写的时候才做一次对象复制。这样就可能会大大减少复制的次数。 6.6.2 AsRef，AsMut AsRef 提供了一个方法 .as_ref()。 分支中的 Ok 和 Err 之前指定 Result::。 这里我们告诉 Rust 当结果是 Ok 时，返回 Ok 成员中的 file 值，然 后将这个文件句柄赋值给变量 f。match 之后，我们可以利用这个文件句柄 来进行读写。 match 的另一个分支处理从 File::open 得到 Err 值的情况。在这种情 况下，我们选择调用 panic!宏。如果当前目录没有一个叫做 hello.txt

divided in two is {half}"), Result::Err(msg) => println!("sorry, an error happened: {msg}"), } } 這裡我們利用分支來「解構」Result 值。在第一個分支中，half 會與 Ok 變體中的值綁定。在第二個分 支中，msg 會綁定至錯誤訊息。 結構體 • 請變更 foo 中的常值，與其他模式配對。 • 在 用 #[ignore] 暫時略過測試： #[test] #[ignore] fn test_value() { .. } 如果您提前完成操作，不妨試著編寫一個以零為除數或會整數溢位的測試。該如何利用 Result (而非恐 慌) 處理這種情況？ /// An operation to perform on two subexpressions. enum Operation { Add, Sub 重點： • 導入方法時，若將方法比做函式，會很有幫助。 – 系統會在型別的執行個體 (例如結構體或列舉) 上呼叫方法，第一個參數以 self 代表執行個 體。 – 開發人員可以選擇透過方法來充分利用方法接收器語法，以更有條理的方式進行整理。藉由使 用方法，我們可以將所有實作程式碼存放在可預測的位置。 • 指出我們會使用關鍵字 self，也就是方法接收器。 – 說明 self 是 self:

divided in two is {half}"), Result::Err(msg) => println!("sorry, an error happened: {msg}"), } } 這裡我們利用分支來「解構」Result 值。在第一個分支中，half 會與 Ok 變體中的值綁定。在第二個分 支中，msg 會綁定至錯誤訊息。 結構體 • 請變更 foo 中的常值，與其他模式配對。 • 在 用 #[ignore] 暫時略過測試： #[test] #[ignore] fn test_value() { .. } 如果您提前完成操作，不妨試著編寫一個以零為除數或會整數溢位的測試。該如何利用 Result (而非恐 慌) 處理這種情況？ /// An operation to perform on two subexpressions. enum Operation { Add, Sub 重點： • 導入方法時，若將方法比做函式，會很有幫助。 – 系統會在型別的執行個體 (例如結構體或列舉) 上呼叫方法，第一個參數以 self 代表執行個 體。 – 開發人員可以選擇透過方法來充分利用方法接收器語法，以更有條理的方式進行整理。藉由使 用方法，我們可以將所有實作程式碼存放在可預測的位置。 • 指出我們會使用關鍵字 self，也就是方法接收器。 – 說明 self 是 self:

后，你很快就会遇到 Cargo，这是 Rust 生态系统中用于构建和运行 Rust 应用的标准工 具。在这里，我们想简要介绍一下什么是 Cargo、它如何融入更广泛的生态系统，以及我们如何在本培训 中合理利用 Cargo。 安装 请按照 https://rustup.rs/ 上的说明操作。 这将为你提供 Cargo 构建工具 (cargo) 和 Rust 编译器 (rustc)。你还将获得 rustup，这是一个命令 Protocol）支持。 不用在这里占用过多时间。所有这些要点均会在后面进行详细讲解。 应该问问学生们都使用过哪些语言。根据答案侧重讲解 Rust 的不同特性： • 使用过 C 或 C++：Rust 利用借用检查消除了一类 运行 。你可以达到堪比 C 和 C++ 的性能， 而没有内存不安全的问题。并且你还可以得到些现代的语言构造，比如模式匹配和内置依赖管理。 • 使用过 Java、Go、Python、JavaScript ”。 关键点： • 引入方法时，将方法与函数进行比较会很有帮助。 – 在某种类型（例如结构体或枚举）的实例上调用方法，第一个参数将该实例表示为“self”。 – 开发者可能会选择使用方法，以便利用方法接收器语法并让方法更有条理。通过使用方法，我 们可以将所有实现代码保存在一个可预测的位置。 • 指出关键字“self”的用法，它是一种方法接收器。 – 显示它是“self: Self”的缩写术语，或许要显示结构体名称的可能用法。

call Unsafe API access call Rust实际表现如何？ ❑ 调研了2020年12月31日前报告的185个内存安全漏洞[TOSEM'21] ▪ Rust在内存安全防护方面效果不错 ▪ 所有的漏洞（除了1个编译器漏洞）都需要unsafe code ▪ 大部分CVEs都是 API soundness的问题（未在可执行程序中发现） Std Lib 3rd-party Libraries escalation of unsoundness Developer User submit release Unsound Bug Report Rust项目中内存安全漏洞的特点 ❑ Automatic Memory Reclaim ❑ Unsound Function ❑ Unsound Generic or Trait Auto Memory Reclaim问题：示例1 MIR的特点对算法进行优化，使其可行 ❑ 整体思路：基于编译过程中的生成的MIR进行静态分析 ▪ 路径提取：控制流图=>生成树 ▪ 别名分析：分析指针之间的关联关系 ▪ 模式识别：根据预定义的缺陷模式检测指针漏洞 路径提取 别名分析 模式识别 “SafeDrop: Detecting memory deallocation bugs of Rust programs via static data-flow

• Rc – clone() – drop() 15 PageTable in Rust vs C 16 17 RUST对Linux安全漏洞的安全性增强(1) 18 RUST对Linux安全漏洞的安全性增强(2) 19 正在进行的工作 • 形成一组基于RustOS的操作系统课实验 https://rucore.gitbook.io/rust-os-docs/bootloader