Rust社区RFC导读构建安全的IO

　　动机
　　最近Rust官方合并了一个RFC，通过引入IO安全的概念和一套新的类型和特征，为AsRawFd和相关特质的用户提供关于其原始资源句柄的保证，从而弥补Rust中封装边界的漏洞。
　　Rust标准库提供了IO安全性，保证程序持有私有的原始句柄（rawhandle），其他部分无法访问它。但是FromRawFd：：fromrawfd是Unsafe的，所以在SafeRust中无法做到File：：fromraw（7）这种事。在这个文件描述符上面进行IO操作，而这个文件描述符可能被程序的其他部分私自持有。
　　但是，很多API通过接受原始句柄来进行IO操作：pubfndosomeioFD：AsRawFd（input：FD）io：：Result（）｛somesyscall（input。asrawfd（））｝复制代码
　　AsRawFd并没有限制asrawfd的返回值，所以dosomeio最终可以在任意的RawFd值上进行IO操作。甚至可以写dosomeio（7），因为RawFd本身实现了AsRawFd。这可能会导致程序访问错误的资源。甚至通过创建在其他部分私有的句柄别名来打破封装边界，导致一些诡异的远隔作用（Actionatadistance）。
　　远隔作用（Actionatadistance）是一种程式设计中的反模式，是指程式某一部分的行为会广泛的受到程式其他部分指令的影响，而且要找到影响其他程式的指令很困难，甚至根本无法进行。
　　在一些特殊的情况下，违反IO安全甚至会导致内存安全。IO安全概念引入
　　标准库中有一些类型和特质：RawFd（Unix）RawHandleRawSocket（Windows），它们代表原始的操作系统资源句柄。这些类型本身并不提供任何行为，而只是代表可以传递给底层操作系统API的标识符。
　　这些原始句柄可以被认为是原始指针，具有类似的危险性。虽然获得一个原始指针是安全的，但是如果一个原始指针不是一个有效的指针，或者如果它超过了它所指向的内存的生命周期，那么解引用原始指针可能会调用未定义的行为。
　　同样，通过AsRawFd：：asrawfd和类似的方式获得一个原始句柄是安全的，但是如果它不是一个有效的句柄或者在其资源关闭后使用，使用它来做IO可能会导致输出损坏、输入数据丢失或泄漏，或者违反封装边界。而在这两种情况下，影响可能是非局部的且影响到程序中其他不相关的部分。对原始指针危险的保护被称为内存安全，所以对原始句柄危险的保护被称为IO安全。
　　Rust的标准库也有一些高级类型，如File和TcpStream，它们是这些原始句柄的封装器，提供了操作系统API的高级接口。
　　这些高级类型也实现了Unixlike平台上的FromRawFd和Windows上的FromRawHandleFromRawSocket的特性，这些特性提供了包裹底层（lowlevel）值以产生上层（highlevel）值的函数。这些函数是不安全的，因为它们无法保证IO安全，类型系统并不限制传入的句柄。usestd：：fs：：File；usestd：：os：：unix：：io：：FromRawFd；Createafile。letfileFile：：open（data。txt）？；从任意的整数值构造file然而这种类型的检查在运行时可能无法识别一个合法存活的资源或者它可能意外地在程序的其他地方被以别名方式封装处理（此处无法判断）这里添加unsafe块是让调用者来避免上述危险letforgedunsafe｛File：：fromrawfd（7）｝；Obtainacopyoffilesinnerrawhandle。letrawfdfile。asrawfd（）；Closefile。drop（file）；Opensomeunrelatedfile。letanotherFile：：open（another。txt）？；进一步使用rawfd，也就是file的内部原始句柄，将超出操作系统与之相关的生命周期这可能会导致它意外地与其他封装好的file实例发生别名，比如another因此，这里unsafe块是让调用者避免上述危险letdanglingunsafe｛File：：fromrawfd（rawfd）｝；复制代码
　　调用者必须确保传入fromrawfd的值是明确地从操作系统返回的，而且fromrawfd的返回值不会超过操作系统与句柄相关的生命周期。
　　IO安全的概念虽然是新的，但它反映出了一个普遍的做法。Rust生态系统将会逐步支持IO安全。IO安全Rust解决方案OwnedFd和BorrowedFdfd
　　这两种类型用于替代RawFd，对句柄值赋予所有权语义，代表句柄值的拥有和借用。
　　OwnedFd拥有一个fd，会在析构的时候关闭它。BorrowedFdfd中的生命周期参数表示对这个fd的访问被借用多长时间。
　　对于Windows来说，也有类似的类型，但都是Handle和Socket形式。
　　类型
　　类似于
　　OwnedFd
　　Box
　　BorrowedFda
　　a
　　RawFd
　　const
　　和其他类型相比，IO类型并不区分可变和不可变。操作系统资源可以在Rust的控制之外以各种方式共享，所以IO可以被认为是使用内部可变性。AsFd、Into和Fromh1
　　这三个概念是AsRawFd：：asrawfd、IntoRawFd：：intorawfd和FromRawFd：：fromrawfd的概念性替代，分别适用于大多数使用情况。它们以OwnedFd和BorrowedFd的方式工作，所以它们自动执行其IO安全不变性。pubfndosomeioFD：AsFd（input：FD）io：：Result（）｛somesyscall（input。asfd（））｝复制代码
　　使用这个类型，就会避免之前那个问题。由于AsFd只针对那些适当拥有或借用其文件描述符的类型实现，这个版本的dosomeio不必担心被传递假的或悬空的文件描述符。逐步采用
　　IO安全和新的类型和特性不需要立即被采用，可以逐步采用。首先，std为所有相关的std类型添加新的类型和特质，并提供impls。这是一个向后兼容的变化。之后，crate可以开始使用新的类型，并为它们自己的类型实现新的特质。这些变化将是很小的，而且是半兼容的，不需要特别的协调。一旦标准库和足够多的流行crate实现了新的特质，crate就可以按照自己的节奏开始使用新的特质作为接受通用参数时的边界。这些将是与semver不兼容的变化，尽管大多数切换到这些新特质的API的用户不需要任何改变。原型实现
　　该RFC内容原型已经实现，参见iolifetimes。
　　RawAPI
　　ThisexperimentalAPI
　　Raw
　　BorrowedandOwned
　　AsRaw
　　As
　　IntoRaw
　　Into
　　FromRaw
　　Fromtrait实现
　　AsFd转换为原生fd，是带有生命周期参数的BorrowedFd〔cfg（any（unix，targetoswasi））〕pubtraitAsFd｛Borrowsthefiledescriptor。Examplerust，norun！〔cfgattr（iolifetimesusestd，feature（iosafety））〕usestd：：fs：：File；usestd：：io；useiolifetimes：：｛AsFd，BorrowedFd｝；letmutfFile：：open（foo。txt）？；letborrowedfd：BorrowedFdf。asfd（）；Ok：：（），io：：Error（（））fnasfd（self）BorrowedFd；｝复制代码
　　IntoFd从原生fd转为安全的fd，是OwnedFd〔cfg（any（unix，targetoswasi））〕pubtraitIntoFd｛Consumesthisobject，returningtheunderlyingfiledescriptor。Examplerust，norun！〔cfgattr（iolifetimesusestd，feature（iosafety））〕usestd：：fs：：File；usestd：：io；useiolifetimes：：｛IntoFd，OwnedFd｝；letfFile：：open（foo。txt）？；letownedfd：OwnedFdf。intofd（）；Ok：：（），io：：Error（（））fnintofd（self）OwnedFd；｝复制代码
　　FromFd从原生fd构造OwnedFd〔cfg（any（unix，targetoswasi））〕pubtraitFromFd｛ConstructsanewinstanceofSelffromthegivenfiledescriptor。Examplerust，norun！〔cfgattr（iolifetimesusestd，feature（iosafety））〕usestd：：fs：：File；usestd：：io；useiolifetimes：：｛FromFd，IntoFd，OwnedFd｝；letfFile：：open（foo。txt）？；letownedfd：OwnedFdf。intofd（）；letfFile：：fromfd（ownedfd）；Ok：：（），io：：Error（（））fnfromfd（owned：OwnedFd）Self；ConstructsanewinstanceofSelffromthegivenfiledescriptorconvertedfromintoowned。Examplerust，norun！〔cfgattr（iolifetimesusestd，feature（iosafety））〕usestd：：fs：：File；usestd：：io；useiolifetimes：：｛FromFd，IntoFd｝；letfFile：：open（foo。txt）？；letfFile：：fromintofd（f）；Ok：：（），io：：Error（（））〔inline〕fnfromintofdOwned：IntoFd（intoowned：Owned）SelfwhereSelf：Sized，｛Self：：fromfd（intoowned。intofd（））｝｝复制代码
　　上述为针对Unix平台的trait，该库也包含Windows平台的相关trait：AsHandleAsSocket、IntoHandleIntoSocket、FromHandleFromSocket。相关类型
　　BorrowedFdfd〔cfg（any（unix，targetoswasi））〕〔derive（Copy，Clone）〕〔repr（transparent）〕〔cfgattr（rustcattrs，rustclayoutscalarvalidrangestart（0））〕libstdosrawmod。rsassuresmethateverylibstdsupportedplatformhasa32bitcint。Belowis2，intwoscomplement，butthatonlyworksoutbecausecintis32bits。〔cfgattr（rustcattrs，rustclayoutscalarvalidrangeend（0xFFFFFFFE））〕pubstructBorrowedFdfd｛fd：RawFd，phantom：PhantomDatafdOwnedFd，｝〔cfg（any（unix，targetoswasi））〕〔repr（transparent）〕〔cfgattr（rustcattrs，rustclayoutscalarvalidrangestart（0））〕libstdosrawmod。rsassuresmethateverylibstdsupportedplatformhasa32bitcint。Belowis2，intwoscomplement，butthatonlyworksoutbecausecintis32bits。〔cfgattr（rustcattrs，rustclayoutscalarvalidrangeend（0xFFFFFFFE））〕pubstructOwnedFd｛fd：RawFd，｝〔cfg（any（unix，targetoswasi））〕implBorrowedFd｛ReturnaBorrowedFdholdingthegivenrawfiledescriptor。SafetyTheresourcepointedtobyrawmustremainopenforthedurationofthereturnedBorrowedFd，anditmustnothavethevalue1。〔inline〕pubunsafefnborrowrawfd（fd：RawFd）Self｛debugassertne！（fd，1i32asRawFd）；Self｛fd，phantom：PhantomData，｝｝｝〔cfg（any（unix，targetoswasi））〕implAsRawFdforBorrowedFd｛〔inline〕fnasrawfd（self）RawFd｛self。fd｝｝〔cfg（any（unix，targetoswasi））〕implAsRawFdforOwnedFd｛〔inline〕fnasrawfd（self）RawFd｛self。fd｝｝〔cfg（any（unix，targetoswasi））〕implIntoRawFdforOwnedFd｛〔inline〕fnintorawfd（self）RawFd｛letfdself。fd；forget（self）；fd｝｝〔cfg（any（unix，targetoswasi））〕implDropforOwnedFd｛〔inline〕fndrop（mutself）｛〔cfg（featureclose）〕unsafe｛letlibc：：close（self。fdasstd：：os：：raw：：cint）；｝Iftheclosefeatureisdisabled，weexpectuserstoavoidlettingOwnedFdinstancesdrop，sothatwedonthavetocallclose。〔cfg（not（featureclose））〕｛unreachable！（dropcalledwithouttheclosefeatureiniolifetimes）；｝｝｝复制代码为std和其他生态库支持安全IO
　　再构建一些跨平台抽象类型之后，为ffiasyncstdfserrmioospipesocket2tokiostd来支持安全IO抽象。使用案例From：https：github。comsunfishcodeiolifetimesblobmainexampleshello。rs〔cfg（all（rustcattrs，unix，featureclose））〕fnmain（）io：：Result（）｛write是capi，所以用unsafeletfdunsafe｛Openafile，whichreturnsanOptionOwnedFd，whichwecanmaybeconvertintoanOwnedFile。拥有一个fdletfd：OwnedFdopen（devstdout。asptr（）asconst，OWRONLYOCLOEXEC）。okorelse（io：：Error：：lastoserror）？；Borrowthefdtowritetoit。借用这个fdletresultwrite（fd。asfd（），hello，world。asptr（）asconst，13）；matchresult｛1returnErr（io：：Error：：lastoserror（）），13（），returnErr（io：：Error：：new（io：：ErrorKind：：Other，shortwrite）），｝fd｝；ConvertintoaFile。Nounsafehere！这里不再需要Unsafe了letmutfileFile：：fromfd（fd）；writeln！（mutfile，greetings，yall）？；WecanborrowaBorrowedFdfromaFile。unsafe｛借用fdletresultwrite（file。asfd（），sup？。asptr（）asconst，5）；matchresult｛1returnErr（io：：Error：：lastoserror（）），5（），returnErr（io：：Error：：new（io：：ErrorKind：：Other，shortwrite）），｝｝NowbacktoOwnedFd。letfdfile。intofd（）；不是必须的，会自动析构fdunsafe｛Thisisntneeded，sincefdisownedandwouldcloseitselfondropautomatically，butitmakesanicedemoofpassinganOwnedFdintoanFFIcall。close（fd）；｝Ok（（））｝复制代码理由与替代方案关于unsafe是为了内存安全的说法
　　Rust在历史上划定了一条界线，指出unsafe仅仅是用于内存安全相关。比较知名的例子是std：：mem：：forget，它增加是unsafe的，后来改为了safe。
　　声明unsafe只用于内存安全的结论表明，unsafe不应该用于其他非内存安全类的API，比如标示某个API是应该避免使用的之类。
　　内存安全优先级高于其他缺陷，因为它不仅仅是为了避免非预期行为，而是为了避免无法约束一段代码可能做的事情的情况。
　　IO安全也是属于这类情况，理由有二：IO安全错误会导致内存安全错误，在mmap周围的安全包装器存在的情况下（在具有操作系统特定API的平台上，允许它们是安全的）。IO安全错误也意味着一段代码可以读取、写入或删除程序中其他部分使用的数据，而不需要命名它们或给它们一个引用。如果不知道链接到程序中的所有其他crate的实现细节，就不可能约束一个crate可以做的事情的集合。
　　原始句柄很像进入独立地址空间的原始指针；它们可以悬空或以虚假的方式进行计算。IO安全与内存安全类似；两者都是为了防止诡异的远隔作用，而且在两者中，所有权是健壮抽象的主要基础，所以使用类似的安全概念是很自然的。相关github。comsmiller123github。combytecodeallRFC3128IOSafetynrc的RFC索引列表
　　作者：RustMagazine
　　链接：https：juejin。cnpost7044050750367858696