导读：来来来，各位看官看这里！Tweede Golf搞了个大动作，他们想搞清楚怎么能让内存漏洞暴露无遗，还要证明Rust语言在保护数十亿设备安全方面的超能力。

荷兰的Rust软件工程咨询公司Tweede Golf最近做了个实验，结果让人眼前一亮，原来Rust在安全关键型应用中这么受欢迎是有原因的。

想想看，软件漏洞可能会影响到好多好多设备，从超声波机器到航空电子系统，所以选对编程语言比啥都重要。

Arcjet的CEO 大卫·米顿（David Mytton），他是这么说的：

“Rust有三大杀手锏：内存安全性是天生的（用不安全代码时有明显标记）、编译时检查超级严格（能早点发现错误）还有测试体验一流（能提高代码覆盖率）。”

30亿台设备的噩梦

2021年，安全研究员在西门子Nucleus实时操作系统里发现了个大漏洞：这软件在全球30亿台设备上跑呢。这个漏洞是“NAME:WRECK”漏洞家族的一员，黑客能用它写个恶意DNS响应，让设备崩溃，甚至被完全控制。

“但是，我们可以伪造个假的‘DNS响应’，里面故意放些‘错误’。黑客就能利用这个，诱骗Nucleus写到不该写的地方，”Tweede Golf的系统软件工程师Marc Schoolderman在博客里这么写道。

想想看，黑客能远程入侵超声波机器、存储系统或航空电子设备，这后果有多严重。

实验：Rust和C在现实世界安全中的对决

Tweede Golf为了测试Rust能不能挡住这个漏洞，设计了个实验。他们给四个工程师（两个正式员工和两个实习生）简单介绍了DNS消息编码协议（RFC1035），然后让他们在三四个小时内用Rust搞出个解决方案。

工程师们一开始并不知道他们要重现的是个有漏洞的代码。然后，他们用让原始C实现崩溃的同样问题输入，测试了他们的Rust实现。

结果出来了：设计更安全。

结果太震撼了！虽然原始C代码在12个测试里有7个失败了，但所有Rust实现都没出现任意代码执行漏洞。

Schoolderman说：“没人觉得非得用不安全的Rust”，他指的是Rust的逃生舱口，允许程序员在必要时绕过安全检查。

所有Rust解决方案都具备“恐慌安全”特性，意味着当输入恶意数据时，只会导致可恢复的错误，而不是系统崩溃。尽管时间紧，所有工程师都写了详尽的测试套件，包括能自动生成问题输入的模糊测试。

开发人员的权衡

“我觉得这个实验很好地展示了内存安全编程语言的价值，”开源维护者Alex Gaynor说。“解码DNS消息本不该是那种能造成严重安全漏洞、威胁系统安全的事，但不幸的是，对于内存不安全的语言来说，这就是现实。”

“这个简单的研究再次证明，确保语言内存安全对构建更安全系统大有好处，”他又补充道。

ISRG的联合创始人兼执行董事Josh Aas说，他认为Tweede Golf花时间深入研究并以有趣的方式验证这一点非常值得。“人们不应该轻信关于Rust安全性的说法，这又是一个有力证据，”他说。

比如，“ISRG的Prossimo项目一直在投资内存安全DNS，以避免上述问题。Hickory DNS是个用Rust编写的高性能递归DNS解析器，我们希望明年把它部署到我们的Let's Encrypt证书颁发机构中，”Aas补充说。

Immunant的CEO Per Larsen说，虽然Tweede Golf实验的规模比他们链接的Google发现要小，但它提供了另一个证据，证明Rust确实有人们期待的安全影响。

“Tweede Golf的员工在把软件从C语言迁移到Rust方面做得非常棒，”他说。“我们和他们合作得很好，互动也让我们印象深刻。他们定期为我们的c2rust迁移工具做贡献，对我来说这是个大优势。”

尼日利亚拉各斯的Rust高级开发人员Joshua Aminu说：“我认为这是一篇非常精彩的文章，它强调了Rust即使在现实生活中也比C/C++更安全的观点。”

开发速度优势

最让人惊讶的结果是开发时间上的优势。Tweede Golf说，即使事先知道漏洞，实现相同功能的真正安全的C版本也比Rust实现“至少花费三倍的时间”。

Schoolderman解释道：“在Tweede，我们用Rust不仅因为它能防止我们犯错，还因为它让我们能更快地写出更安全的软件。”

为什么Rust能在C举步维艰时取得成功

这个漏洞就是经典的C语言编程问题：未经检查的内存访问、缺乏边界检查和对外部输入的隐式信任。简单分析一下这个漏洞的C代码，就能发现几个关键问题：

• 未经检查的内存偏移量允许攻击者读取或写入任意内存位置
• 无需验证即可隐性信任输入数据
• 循环引用导致的潜在无限循环
• 没有检查以确保输出缓冲区不会溢出

相比之下，Rust的设计理念默认避免了这些问题：

1. 内存安全保障：Rust的所有权系统使得缓冲区溢出和释放后使用漏洞几乎不可能发生，除非明确选择绕过安全检查。
2. 富有表现力的类型系统：Rust强大的类型系统鼓励清晰的数据验证和明确的错误处理。
3. 测试文化：Rust生态系统非常强调测试，包括基于属性的测试和模糊测试，这些测试可以发现人类可能错过的边缘情况。

超越学术范例

这不仅仅是一次学术研究。在其他四个网络库（统称为NAME:WRECK）中也发现了类似的DNS相关漏洞。这项实验为谷歌、微软和其他科技巨头的说法增添了实证依据：内存安全问题在安全漏洞中占很大比例，而像Rust这样的语言可以有效显著降低这些风险。

系统编程的未来

随着嵌入式系统、物联网(IoT)设备和关键基础设施的互联程度日益加深，安全漏洞的成本也呈指数级增长。Tweede Golf的实验提供了令人信服的证据，证明像Rust这样的现代内存安全语言提供了一条前进的道路——它不仅可以预防某些类型的错误，还能更快地开发出更可靠、更安全的系统。

信息很明确：当涉及到影响数百万或数十亿人的关键系统软件时，编程语言的选择不再仅仅是开发人员的偏好，而是关乎基本的安全性和安全性。

Mytton表示：“对于系统级网络代码，Rust可能是目前最好的工具——它相对于C的优势是压倒性的，我看不出现在还有什么理由选择C来解决这些问题。”

吹毛求疵？

“虽然我确信人们可以对研究方法吹毛求疵（例如，样本量小，程序员在测试中比在现实生活中更勤奋），但我认为我们在这里看到的结果确实再现了我们在像谷歌这样的大规模工业环境中看到的情况，这应该让我们有信心，这些结果确实反映了组织可以从使用内存安全语言编写代码中获得的好处，”Gaynor说。

此外，米顿表示，宣称普遍节省“时间和金钱”需要限定条件。

“是的，与C语言相比，以及在解决系统级问题时，这可能是真的，”他说。“但与Python或Go等其他安全语言相比呢？成本效益分析要复杂得多。很难找到经验丰富的Rust开发人员，而且随着技术栈的不断提升，使用Python或Go进行迭代的速度要快得多。”