unsafe |
Non sécuritaire |
|---|---|
| Rust | |
Syntaxe
|
unsafe fn action_dangereuse() { // code non sécurisé ici } |
Paramètres
| Nom | Description |
|---|---|
| action_dangereuse() | Ce paramètre permet de déclarer une fonction contenant du code qui peut violer les garanties de sécurité de Rust et nécessite une manipulation explicite et prudente. |
| code non sécurisé ici | Ce paramètre permet d'indiquer un bloc de code où des opérations non sécurisées (comme la manipulation de pointeurs bruts) sont autorisées. |
Description
Ce mot réservé permet de dénoter du code, des fonctions, des caractéristiques ou des mises en oeuvre non sécurisés.
Remarques
Code ou interfaces dont la sécurité mémoire ne peut être vérifiée par le système de types.
Le mot clef unsafe a deux utilisations :
- déclarer l'existence de contrats que le compilateur ne peut pas vérifier (unsafe fn et unsafe trait),
- et déclarer qu'un programmeur a vérifié que ces contrats ont été respectés (unsafe {} et unsafe impl, mais aussi unsafe fn - voir ci-dessous).
Elles ne s'excluent pas mutuellement, comme le montre l'exemple d'un bloc non sécurisé : le corps d'un bloc non sécurisé est, par défaut, traité comme un bloc non sécurisé. L'option de contrôle unsafe_op_in_unsafe_fn peut être activée pour modifier ce comportement.
Capacités non sécurisées
Quoi qu'il en soit, Rust sûr ne peut pas provoquer de comportement indéfini. C'est ce qu'on appelle la solidité : un programme bien typé possède effectivement les propriétés souhaitées. Le Nomicon propose une explication plus détaillée à ce sujet.
Pour garantir sa solidité, Rust sûr est suffisamment restreint pour être vérifié automatiquement. Cependant, il est parfois nécessaire d'écrire du code correct pour des raisons trop complexes pour être comprises par le compilateur. Dans ce cas, vous devez utiliser Rust non sûr.
Voici les capacités de Rust non sûr, en plus de Rust sûr :
- Déréférencer des pointeurs bruts
- Implémenter des traits non sûrs
- Appeler des fonctions non sûres
- Muter des statiques (y compris externes)
- Accéder aux champs des unions
Cependant, ce pouvoir supplémentaire s'accompagne de responsabilités supplémentaires : il vous appartient désormais de garantir la fiabilité. Le mot clef unsafe permet d'identifier clairement les parties de code concernées.
Les différentes significations de unsafe
Toutes les utilisations de unsafe ne sont pas équivalentes : certaines servent à signaler l'existence d'un contrat que le programmeur doit vérifier, d'autres à indiquer : « J'ai vérifié le contrat, allez-y ». La discussion suivante sur les internes de Rust fournit des explications plus détaillées à ce sujet, mais voici un résumé des points principaux :
- fn non sécurisée : appeler cette fonction implique de respecter un contrat que le compilateur ne peut pas appliquer.
- trait non sécurisé : implémenter ce trait implique de respecter un contrat que le compilateur ne peut pas appliquer.
- {} non sécurisé : le contrat nécessaire à l'appel des opérations à l'intérieur du bloc a été vérifié par le programmeur et son respect est garanti.
- impl non sécurisé : le contrat nécessaire à l'implémentation du trait a été vérifié par le programmeur et son respect est garanti.
Par défaut, unsafe fn agit également comme un bloc unsafe {} autour du code de la fonction. Cela signifie qu'il ne s'agit pas seulement d'un signal envoyé à l'appelant, mais aussi d'une garantie que les conditions préalables aux opérations de la fonction sont respectées. Mélanger ces deux significations peut prêter à confusion ; c'est pourquoi le lint unsafe_op_in_unsafe_fn peut être activé pour avertir contre ce problème et exiger des blocs unsafe explicites, même à l'intérieur d'unsafe fn.
Exemples
Marquer des éléments comme non sécurisés.
Unsafe peut être utilisé pour les fonctions. Notez que les fonctions et les statics déclarées dans des blocs externes sont implicitement marquées comme non sécurisées (mais pas les fonctions déclarées comme extern "quelque chose" fn ...). Les statics mutables sont toujours non sécurisées, où qu'elles soient déclarées. Les méthodes peuvent également être déclarées comme non sécurisées :
Les traits peuvent également être déclarés comme dangereux :
Étant donné que les fonctions fn et trait unsafe indiquent l'existence d'un contrat de sécurité que le compilateur ne peut pas appliquer, il est important de le documenter. La bibliothèque standard en propose de nombreux exemples, comme celui-ci, extrait de Vec::set_len. La section # Safety explique le contrat à respecter pour appeler la fonction en toute sécurité.
- /// Force la longueur du vecteur à `new_len`.
- ///
- /// Il s'agit d'une opération de bas niveau ne conservant aucun des invariants normaux du type. La modification de la longueur
- /// d'un vecteur s'effectue généralement à l'aide d'une opération sûre, telle que «truncate», «resize», «extend» ou «clear».
- ///
- /// # Sécuritaire
- ///
- /// - `new_len` doit être inférieur ou égal à `capacity()`.
- /// - Les éléments de `old_len..new_len` doivent être initialisés
-
- pub unsafe fn set_len(&mut self, new_len: usize)
Utilisation de blocs et d'implémentations non sécurisés
L'exécution d'opérations non sécurisées nécessite un bloc non sécurisé :
- #![deny(unsafe_op_in_unsafe_fn)]
-
- /// Déréférencer le pointeur donné.
- ///
- /// # Sécurité
- ///
- /// `ptr` doit être aligné et ne doit pas être suspendu.
-
- unsafe fn deref_unchecked(ptr: *const i32) -> i32 {
- // SÉCURITAIRE : l'appelant doit s'assurer que «ptr» est aligné et déréférençable.
- unsafe { *ptr }
- }
-
- let a = 3;
- let b = &a as *const _;
- // SÉCURITAIRE : « a » n'a pas été supprimé et les références sont toujours alignées, donc « b » est une adresse valide.
- unsafe { assert_eq!(*b, deref_unchecked(b)); };
unsafe et trait
Les interactions entre unsafe et trait peuvent être surprenantes. Comparons donc les deux combinaisons de fonctions safe dans un trait unsafe et unsafe dans un trait safe à l'aide de deux exemples :
- /// # Sécuritaire
- ///
- /// `make_even` doit renvoyer un nombre pair.
- unsafe trait MakeEven {
- fn make_even(&self) -> i32;
- }
-
- // SÉCURITAIRE : Notre `make_even` renvoie toujours quelque chose de pair.
- unsafe impl MakeEven for i32 {
- fn make_even(&self) -> i32 {
- self << 1
- }
- }
-
- fn use_make_even(x: impl MakeEven) {
- if x.make_even() % 2 == 1 {
- // SÉCURITAIRE : cela ne peut jamais arriver, car toutes les implémentations de « MakeEven » garantissent que « make_even » renvoie quelque chose d'égal.
- unsafe { std::hint::unreachable_unchecked() };
- }
- }
Notez que le contrat de sécurité du trait est respecté par l'implémentation et est lui-même utilisé pour respecter le contrat de sécurité de la fonction non sécurisée unreachable_unchecked appelée par use_make_even. make_even est une fonction sûre, car ses appelants n'ont pas à se soucier d'un contrat ; seule l'implémentation de MakeEven est requise pour respecter un contrat spécifique. use_make_even est sûre, car elle peut utiliser la promesse des implémentations de MakeEven pour respecter le contrat de sécurité de la fonction non sécurisée unreachable_unchecked qu'elle appelle.
Il est également possible d'avoir une fonction non sécurisée dans un trait sûr standard :
- #![deny(unsafe_op_in_unsafe_fn)]
-
- trait Indexable {
- const LEN: usize;
-
- /// # Safety
- ///
- /// L'appelant doit s'assurer que « idx < LEN ».
- unsafe fn idx_unchecked(&self, idx: usize) -> i32;
- }
-
- // L'implémentation de « i32 » n'a pas besoin d'effectuer de raisonnement contractuel.
- impl Indexable for i32 {
- const LEN: usize = 1;
-
- unsafe fn idx_unchecked(&self, idx: usize) -> i32 {
- debug_assert_eq!(idx, 0);
- *self
- }
- }
-
- // L'implémentation pour les tableaux exploite le contrat de fonction pour utiliser « get_unchecked » sur les tranches et éviter une vérification à l'exécution.
- impl Indexable for [i32; 42] {
- const LEN: usize = 42;
-
- unsafe fn idx_unchecked(&self, idx: usize) -> i32 {
- // SAFETY: Conformément à la documentation de ce trait, l'appelant s'assure
- // that `idx < 42`.
- unsafe { *self.get_unchecked(idx) }
- }
- }
-
- // L'implémentation du type never déclare une longueur de 0, ce qui signifie que `idx_unchecked` ne peut jamais être appelé.
- impl Indexable for ! {
- const LEN: usize = 0;
-
- unsafe fn idx_unchecked(&self, idx: usize) -> i32 {
- // SAFETY: Selon la documentation de ce trait, l'appelant garantit que «idx < 0», ce qui est impossible, il s'agit donc d'un code mort.
- unsafe { std::hint::unreachable_unchecked() }
- }
- }
-
- fn use_indexable<I: Indexable>(x: I, idx: usize) -> i32 {
- if idx < I::LEN {
- // SAFETY: We have checked that `idx < I::LEN`.
- unsafe { x.idx_unchecked(idx) }
- } else {
- panic!("index out-of-bounds")
- }
- }
Cette fois, use_indexable est sûr, car il utilise une vérification à l'exécution pour exécuter le contrat de sécurité d'idx_unchecked. L'implémentation d'Indexable est sûre, car lors de l'écriture d'idx_unchecked, nous n'avons pas à nous soucier de cela : nos appelants doivent exécuter une obligation de preuve (comme use_indexable), mais l'implémentation de get_unchecked n'a aucune obligation de preuve à respecter. Bien sûr, l'implémentation d'Indexable peut choisir d'appeler d'autres opérations non sécurisées, et elle a alors besoin d'un bloc non sécurisé pour indiquer qu'elle a exécuté les obligations de preuve de ses appelants. (Nous avons activé unsafe_op_in_unsafe_fn, de sorte que le corps d'idx_unchecked n'est pas implicitement un bloc non sécurisé.) Pour cela, elle peut utiliser le contrat que tous ses appelants doivent respecter : idx < LEN.
Formellement, une fonction non sécurisée dans un trait est une fonction dont les préconditions vont au-delà de celles encodées par les types de paramètres (comme idx < LEN), tandis qu'un trait non sécurisé peut déclarer que certaines de ses fonctions ont des postconditions allant au-delà de celles encodées par le type de retour (comme renvoyer un entier pair). Si un trait nécessite une fonction avec à la fois une précondition et une postcondition supplémentaires, il doit alors inclure une fonction non sécurisée dans un trait non sécurisé.