30年祖传代码被干掉!微软启用内存安全的 Rust 重写 Windows 内核代码
导读
Rust 语言由 Mozilla Research 开发,旨在 避免可能导致内存访问错误或缓冲区溢出的程序错误 ,从而导致安全问题。同时,在运行时方面,该语言应该达到与C++相当的效率。
与 AWS、华为、谷歌和 Mozilla 一起,微软是 Rust 基金会的第五家创始公司之一,该基金会于 2021 年 2 月 8 日宣布成立。
在语法方面,Rust 基于 C++构建,但也包含一些明显差异,例如 If 条件周围并不需要括号。
如今,Rust 已经被集成到 Linux 内核的一个重要开发分支中。而微软公司此次也紧随其后,这意味着这个新语言的进一步流行。
微软开始重写Windows内核
微软正使用 Rust 编程语言重写其核心 Windows 库,这批内存安全性更高的代码已经被交付至第一批的开发者手中。
Windows 操作系统安全总监 David “dwizzle” Weston 在上个月于以色列特拉维夫召开的 BlueHat IL 2023 大会上,宣布 Rust 正式进入 Windows 系统内核。
“在未来几周或者几个月内,大家将开始在内核中使用 Rust 来启动 Windows,这真是太酷了。这项工作的基本目标,就是将一部分系统内 C++ 数据类型转换成 Rust 的等价产品。”
Rust 已经进入 Windows 内核微软的重点是“消灭漏洞类”(killing bug classes),想用一种更为积极的方法来保证更安全的代码。他们希望通过内存安全的语言、CPU架构变更以及更安全的语言子集来实现这一点。
David Weston 本次演讲也专注于内存安全语言。在 Windows 内核中,其主要语言是 C语言,由于 MFC 和 COM 的原因,内核之外的大部分代码都是 C++,甚至 MSVC libc 实际上也是用 C++ 编写的,带有 extern "C"声明。但是,从 Windows Vista 开始,内核开始允许使用 C++ 代码(VC++ 获得了 kernel 标志。
目前微软主要改写了两个项目,DWriteCore 以及 Win32 GDI,它们包含了一些非常古老的代码。其中 Win32 GDI 是在 80 年代后期 90 年代初期写的,专为 286/386 计算机设计。
微软首先将 Rust 引入到了 DWriteCore,它属于 Windows DWrite 引擎的 Windows App SDK 实现,用于文本分析、布局与渲染。
这项工作是从 2020 年开始的,目前 DWriteCore 包含约 15.2 万行 Rust 代码和 9.6 万行 C++ 代码。
DWriteCore 私有 API 使用的是 COM-like interfaces,公共 API 则全是 COM,这些地方比较容易将 C++ 和 Rust 进行集成。
据微软介绍,完成这项工作,两名开发人员总共花了半年时间,包括编写代码以及做相应的测试。目前这些改进均已面向软件开发者开放。
David Weston 表示,这是一个非常有价值的项目,因为这个领域以安全漏洞多而著称,经过改写后,性能提升也很惊人!除了预期中的安全改进之外,使用 OTLS(OpenType 库服务)据说能将 Shaping(替换)字形的性能提高 5% 到 15%。
另外,微软 Windows 图形设备接口(Win32 GDI)也在进行 Rust 改造,目前已经拥有 3.6 万行 Rust 代码在服役。Weston 强调说,对比 C++,Rust 不仅易于编写还易于理解。最新版本的 Windows 11 启动中使用的就是这个 Rust 版本,不过虽然已经通过了所有 GDI 测试,但 Rust 接口目前仍通过功能标志被禁用。
Weston 表示,“如今 Windows 内核中其实存在一个 SysCall,而它正是用 Rust 实现的。”
但微软对 Rust 的认可也并非无脑型推广。Weston 解释道,“短时间内我们恐怕不会用 Rust 全面重写 Windows。虽然我们都很喜欢 Rust,但首先还是需要制定出完善的策略,包括保护更多原生代码。”
开发者们必须承认,有了微软的认可、支持以及代码贡献正在令 Rust 变得愈发强大,这对整个开源社区也是一件好事情。
微软此举可谓是非常振奋人心。就在几年之前,微软就开始对 Rust 表现出兴趣,认为它是一种能在产品正式发布前捕捉并消除内存安全漏洞的好办法。自从 2006 年以来,Windows 开发团队修复了大量由 CVE 列出的安全漏洞,其中约 70% 跟内存安全有关。
Rust 的工具链一直努力防止开发者构建与发布存在安全缺陷的代码,从而降低恶意黑客攻击软件弱点的可能性。简而言之,Rust 关注内存安全和相关保护,有效减少了代码中包含的重大 bug 数量。
而且,像谷歌等行业巨头也已经公开对 Rust 语言示好。
随着业界对于内存安全编程的愈发重视,微软也在 Rust 身上显露出积极的探索热情。去年 9 月,微软发布一项非正式授权,Microsoft Azure 首席技术官 Mark Russinovich 表示新的软件项目应该使用 Rust,而不是 C/C++。
现在,Rust 已经进入了 Windows 内核,Weston 表示微软 Windows 将继续推进这项工作,那么相信 Rust 很快就会得到更广泛的应用。
作为 Python Flask 项目负责人兼 Sentry 安全工程师,开源软件开发者 Armin Ronacher 在采访邮件中指出,微软的青睐对于 Rust 这门语言非常重要。
“具体来讲,我希望微软能重用现有编译器,从而带来更好的 PDB(程序数据库)支持。目前的 Windows 在开发者工具的支持方面,还跟不上其它基于 DWARF(使用属性记录格式进行调试)平台的水平。”
Pydantic 公司创始人兼 Python/Rust 开发者 Samuel Colvin 也表示,“微软这种前瞻性的思维给我留下了深刻印象,但这也在情理之中。我相信微软是在工程师的施压之下才决定拥抱 Rust 的。当前,如果目标是构建一款强调性能或者较为底层的应用程序,那么 Rust 无疑是个明智的选择。”
Colvin 还提到,虽然市面上优秀的 Rust 工程师可能不是很多,但他还是认为寻找优秀 Rust 工程师要比寻找优秀 C/C++ 工程师更容易一些。
“虽然拥有丰富 Rust 开发经验的人不多,但很多工程师都乐于一试并认真学习它。毕竟编写安全代码本身就不是简单的事,在 Rust 中至少相对不是那么的困难。”
Colvin 最后总结道,“对于我们这些依赖 Rust 的开发者来说,微软使用并支持 Rust 的决定,这真的是很令人兴奋。”
作者:手扶拖拉斯基
来源:https://www.theregister.com/2023/04/27/microsoft_windows_rust/
相关阅读: