Franska matematiker gör Rust ännu säkrare

EMBEDDED WORLD Nu kan du tanka upp Rust-kod till franska Trustinsoft för att få den analyserad efter säkerhetshål. C och C++ stöds sedan länge – och analysverktyget kan till och med blanda språken.

Vänta nu här! Det finns väl inga säkerhetshål i Rust?!

Själva grejen med programspråket är att det är designat för att undvika de minnesrelaterade buggar som plågar C.

Men jo, det finns faktiskt säkerhetshål. Tre stycken.

Det första är nyckelordet ”unsafe” som stänger av säkerheten i Rust. Det kan du vilja göra när du programmerar maskinnära – något som emdebbedprogrammerare gärna gör.

Trustinsoft drog en suck av lättnad när de insåg att det fanns luckor även i Rust. Företaget har under ett decennium år arbetat med att skapa formella bevis för att C-kod – som så att säga alltid är deklarerad unsafe – faktiskt är korrekt.

C-kods obefinliga minnessäkerhet ger prestandadfördelar men skapar buggar, realtidsfel, minnesfel, programkrasher, säkethetshetshål, med mera.

Man kunde tro att Trustinsoft skulle deppa ihop av att Rust med sin omständliga med säkra minneshantering börjat stjäla implementeringar från C – för det är en trend. Men Trustinsoft släpper alltså nu lös exakt samma analysverktyg på ”unsafe Rust”.

Som Trustinsofts verktyg är byggda ser de inte ens att det är Rustkod och inte C-kod som de analyserar.

Det andra hålet i Rust som Trustinsoft täpper till, efter unsafe, är dess fuskiga sätt att ”lösa” vissa problem, nämligen att plötsligt under exekveringen slå ut med händerna och deklarera ”panic”. Och stoppa exekveringen.

Det är förstås inte ett acceptabelt sätt att lösa problem i ett realtidssystem. Men Rust tar till knepet när beteendet hos koden är odefinerat.

Återigen kan Trusinsoft gripa in och läsa koden och bevisa eller motbevisa att exekveringen kommer att hamna i ett odefinerat tillstånd.

– Rust är minnessäker by design vilket är strålande! Men unsafe och undefined Rust finns och de kan vi adressera på samma sätt som vi gör det i C och C++. Bevisgraden blir densamma, säger Trustinsofts vd Caroline Guillaume.

Det tredje sårbarheten i Rust kan vi skylla på C/C++. Sårbarheten finns där C/C++-kod och Rust-kod anropar varandra.

Och det kommer de att göra. Operativsystemet Linux är exempelvis numera en hybrid mellan C och Rust – även om den senares andel är mikroskopisk. Och vi kommer att se många hybrida kodbaser under många år.

– Jag tror inte att C och C++ kommer att försvinna i morgon. Miljontals rader C kommer inte att bara kastas bort. Vi kommer att få se små bitar av Rust flyta omkring i ett hav av C.

Nyheten på mässan är att Trustinsoft känner sig mogen att introducera sin Rustanalys som en tjänst – under namnet ”Rust Code Analysis”.

Tjänsten klarar hybridkodbaser av C/C++ och Rust. Den stöder även simulering av målplattformen, eftersom dess beteende påverkar semantiken.

Du köper inte bara tjänsten utan även Trustinsofts experthjälp. Om några månader hoppas Trustinsoft att kunna släppa ett verktyg som du kan använda på egen hand.