Rust vs C za ugrađeni firmver: koji odabrati za vaš projekat

Ako radite unutra ugrađeni firmver, a ti se dvoumiš između Rusta i C-aNiste sami. Sve više timova se pita da li se isplati nastaviti oslanjati na tradicionalni C ili početi migrirati neke od svojih projekata na Rust, posebno kada do izražaja dođu sigurnost, održavanje i povezani sistemi.

U ovom članku ćemo, smireno, ali direktno, analizirati, Kakav doprinos Rust i C daju u kontekstu ugrađenih sistema?Sigurnost memorije, performanse, konkurentnost, alati, ekosistem, krivulja učenja i uklapanje u stvarne projekte s puno naslijeđenog koda. Ideja je da na kraju dobijete jasne kriterije za odlučivanje kada je razumnije ostati pri C-u, a kada se isplati odlučiti za Rust u svom firmveru.

Kontekst: Zašto je bitka između Rust i C ključna kod ugrađenog firmvera

U svetu sistemi vrlo niskog nivoa, mikrokontroleri i IoT uređajiC ostaje neprikosnoveni kralj. Decenijama je bio maternji jezik gotovo svega što se priključuje na računar: drajvera, HAL-ova proizvođača, RTOS-ova, TCP/IP stekova, bootloadera i još mnogo toga. To se prevodi u milione linija koda koje se izvršavaju u proizvodnji u sektorima kao što su automobilska industrija, industrija, energetika i potrošačka elektronika.

Rust, sa svoje strane, Rođen je mnogo kasnije s vrlo jasnom opsesijomPružiti sigurnost memorije i konkurentnosti bez potrebe za sakupljanjem smeća i bez žrtvovanja performansi niskog nivoa. Iako je u početku stekao popularnost u većim sistemskim okruženjima (preglednici, backendovi, WebAssembly), zajednica je ostvarila značajan napredak u embedded prostoru zahvaljujući projektima, paketima i filozofiji "sigurnost na prvom mjestu".

Pitanje koje si mnogi timovi danas postavljaju je jednostavno, ali neugodno: Ima li smisla nastaviti pisati novi firmver u C-u?Sa svim rizicima pokazivača i prelijevanja, ili je vrijeme za prelazak na Rust, barem u najkritičnijim dijelovima sistema?

Nadalje, ova odluka se ne donosi u vakuumu. Mora se uzeti u obzir da dobar dio sigurnosnih propusta koje se pojavljuju na povezanim uređajima potiču od memorijskih grešaka u C/C++, nešto na što su različite organizacije i vlade počele eksplicitno ukazivati, promovirajući upotrebu sigurnijih jezika za kritični softver.

Korijeni, zrelost i ekosistem: C kao veteran i Rust kao novajlija

Domen C-a u ugrađenom okruženju oslanja se na nekoliko historijski korijeni koje je teško zanemaritiOd 70-ih, mikrokontroleri se koriste za pisanje operativnih sistema, firmvera svih vrsta i aplikacija gdje je svaki bajt i svaki ciklus CPU-a važan. Na osnovu ove osnove, izgrađen je ogroman ekosistem kompajlera, biblioteka, RTOS-ova i alata za otklanjanje grešaka posebno dizajniranih za mikrokontrolere.

Ova inercija ima direktnu posljedicu: Proizvođači silikona dizajniraju svoje SDK-ove i primjere imajući na umu CKada preuzmete paket podrške za novi MCU, obično ćete pronaći testirani C kompajler, C drajvere, referentne primjere i vrlo uglađenu integraciju sa vlasničkim ili GCC-baziranim IDE-ima. Ovo omogućava trenutno pokretanje C projekta na gotovo bilo kojoj platformi.

Rđa, u poređenju, Stiže kao početnik, pun entuzijazma i s radikalno drugačijim pristupom.Za samo nekoliko godina, zajednica je izgradila sve robusniji ekosistem za ugrađene sisteme, podržan paketima kao što su ugrađeni-halHAL porodice specifične za desetine ARM Cortex-M i RISC-V mikrokontrolera, te projekte kao što su operativni sistemi u realnom vremenu ili ugrađeni aplikacijski okviri napisani u potpunosti u Rustu.

Međutim, čak i danas postoje područja gdje Podrška za Rust nije tako neposredna ili službena kao što se čini.U vrlo specifičnim arhitekturama, neuobičajenim čipovima ili vrlo zatvorenim vlasničkim SDK-ovima, uobičajeno je da "gotova" podrška za Rust još nije dostupna i da je potrebno koristiti C omotače ili ručno raditi s blokovima. nesigurno da pristupite određenim funkcijama.

Ukratko, iako C ima koristi od Decenije zrelosti, industrijski alati i zvanična podrška Na gotovo svakoj ugrađenoj platformi, Rust djelimično kompenzira ovaj nedostatak tradicije modernim dizajnom, vrlo aktivnom zajednicom i jasnim fokusom na sigurnost, ali je još uvijek u fazi ekspanzije u određenim vrlo specifičnim nišama.

Sigurnost memorije: C manuelni model u odnosu na vlasništvo u Rustu

U C-u, upravljanje memorijom je jednako moćno koliko i opasno. Jezik vam omogućava detaljno kontrolisati svaki dodijeljeni i oslobođeni bajtMeđutim, ne nameće praktično nikakva ograničenja: vi odlučujete kada koristiti malloc, kada osloboditi memoriju, kako rukovati pokazivačima i kako pristupiti nizovima. Ovo pruža mnogo slobode, ali također otvara vrata klasičnim greškama kao što su prelijevanje bafera, viseći pokazivači, ponovna upotreba već oslobođene memorije i curenje koje je teško pratiti.

Ova stvarnost nije teoretska: Procjenjuje se da veliki dio sigurnosnih ranjivosti u softveru napisanom u C/C++ Ovi problemi potiču od problema s memorijom. Kod ugrađenog firmvera, ovo je posebno kritično, jer ne samo da može uzrokovati pad sistema, već i nepravilno ponašanje u stvarnom vremenu ili sigurnosne ranjivosti u povezanim uređajima.

Rust rješava ovaj problem vrlo drugačijim pristupom zasnovanim na svom sistem vlasništva i kreditaSvaka vrijednost u Rustu ima jednog vlasnika, sa životnim vijekom koji je jasno definiran od strane kompajlera. Kada nešto izađe izvan opsega, njegova memorija se oslobađa deterministički, bez sakupljanja smeća. Istovremeno, reference se moraju pridržavati strogih pravila: ne možete imati nevažeće reference, niti možete miješati istovremena čitanja i pisanja bez sigurnih mehanizama.

To implicira to Mnoge memorijske greške jednostavno sprečavaju kompajliranjeAko pokušate koristiti podatke nakon što ste ih premjestili, kompajler će vas upozoriti. Ako želite imati dvije promjenjive reference na isti resurs, Rust to neće dozvoliti osim ako ne unesete odgovarajući odjeljak. nesigurno i prihvatiti posljedice. Nadalje, pristup nizovima i dinamičkim kolekcijama vrši provjere granica po defaultu, sprječavajući tipična prelijevanja, posebno u razvojnim verzijama.

Praktični rezultat je da, dok se u C-u oslanjate na svoje iskustvo, preglede koda i vanjske alate kako biste spriječili greške u memoriji, u Rustu sam jezik djeluje kao... čuvar sigurnog upravljanja memorijom čak i prije nego što firmver počne da se pokreće na mikrokontroleru.

Performanse i determinizam u sistemima s ograničenim resursima

Jedan od razloga zašto je C decenijama ostao na tronu firmvera je taj što Nudi izuzetno predvidljive performanseZnate koje će se instrukcije izvršiti, možete fino podesiti korištenje memorije po bajtovima i eliminirati nepotrebno opterećenje. U sistemima s ograničenom RAM memorijom i vrlo strogim zahtjevima za rad u realnom vremenu, ova sposobnost pomjeranja hardvera do njegovih granica ostaje snažna prednost.

Međutim, Rust je od temelja dizajniran da pruži apstrakcije s nultom cijenomTo znači da su mnoge visokonivoske konstrukcije koje jezik nudi (itatori, generici, tipovi grešaka itd.) optimizirane prilikom kompajliranja kako bi se proizveo mašinski kod jednako efikasan kao onaj koji biste ručno napisali u C-u. Ne postoji sakupljač smeća koji bi uvodio nepredvidive pauze, a kompajler je u stanju ukloniti većinu sigurnosnih provjera u produkcijskim verzijama kada može pokazati da nisu potrebne.

Mjerna ispitivanja sistema iz stvarnog svijeta su pokazala da Rust obično odgovara ili je vrlo blizu performansama C-a.pa čak i nadmašiti ga u nekim slučajevima zahvaljujući modernim optimizacijama kompajlera i mogućnosti pisanja koda visokog nivoa koji optimizator može efikasnije analizirati. Međutim, u vrlo ograničenim ugrađenim okruženjima, konačna binarna veličina i korištenje memorije ostaju važni faktori koje treba uzeti u obzir.

Sa stanovišta programera firmvera, relevantno je to što Rust ne nameće automatski negativan utjecaj na performanse.Možete nastaviti raditi blizu metala, kontrolirajući strukture podataka niskog nivoa i, kada je potrebno, pribjegavati blokovima. nesigurno vrlo ograničeno na interakciju s registrima ili specifičnim hardverom, držeći ostatak koda pod sigurnosnim garancijama jezika.

Posljedično, za većinu embedded projekata gdje su C performanse bile kritični zahtjev, Rust je savršeno konkurentan, uz dodatnu prednost drastičnog smanjenja površine memorijskih grešaka i nedefiniranog ponašanja.

Konkurencija i realno vrijeme: ručna disciplina u C-u naspram sigurnosti tipova u Rustu

Kada počnete uvoditi istovremene zadatke, prekide i pristup dijeljenim resursima u firmver, C pruža sve dijelove: RTOS, niti, redovi čekanja, semafori, muteksi, atomske varijableProblem je u tome što, još jednom, jezik pretpostavlja da znate šta radite. Ništa vas ne sprečava da čitate i pišete istu varijablu iz više nezaštićenih zadataka ili da dizajnirate shemu zaključavanja koja rezultira zastojem koji je teško reproducirati.

U ovim scenarijima, sigurnost zavisi od disciplina tima, pregledi koda i testiranjeUz prave alate, robusni konkurentni sistemi mogu se izgraditi u C-u, ali vjerovatnoća uvođenja suptilnog uslova utrke je realna, posebno kako firmver raste i postaje složeniji.

Rust uključuje sigurnost konkurentnosti direktno u vašem sistemu tipovaKroz osobine Poslati y SyncKompajler odlučuje koji se tipovi mogu sigurno premještati ili dijeliti između niti. Pravila posuđivanja se ovdje također primjenjuju: istovremeni promjenjivi pristup iz više konteksta nije dozvoljen bez korištenja sigurnih struktura kao što su mutex-ovi, RwLock-ovi ili atomski prebrojani referentni tipovi.

Posljedica je da Uslovi memorijske utrke su uglavnom zabranjeni dizajnomAko pokušate proslijediti nesigurne podatke drugom zadatku bez odgovarajuće zaštite, kompajler će izbaciti grešku. Naravno, i dalje možete praviti greške u logici visokog nivoa, ali cijela kategorija grešaka konkurentnosti je izostavljena jer se neće kompajlirati.

Za firmver koji počinje uključivati multitasking, intenzivna komunikacija ili paralelna obradaOvaj model pruža dodatni mir. Mnogi timovi cijene Rustovu "neustrašivu konkurentnost" upravo zato što smanjuje vrijeme provedeno u potrazi za neuhvatljivim greškama povezanim s uvjetima utrke.

Produktivnost, krivulja učenja i dostupnost talenata

Jedan od najčešće korištenih argumenata u korist C-a u svijetu ugrađenih programskih jezika je... ogromna baza iskusnih programera koji već vladaju jezikom i njegovim alatima. Pronalaženje inženjera koji se s lakoćom snalaze u C kodu za mikrokontrolere relativno je lako, posebno u sektorima koji već decenijama ulažu u ovu tehnologiju.

S druge strane, hrđa, I dalje ima manju zajednicu u ugrađenom prostoru.Mnogi programeri su u procesu učenja i prelaska sa C/C++, što znači da bi, kratkoročno gledano, moglo biti skuplje regrutovati stručnjake sa dubokim iskustvom u Rustu, posebno za firmver niskog nivoa.

Ovome se dodaje i činjenica da Rustova krivulja učenja je, priznajem, strmaPogotovo na početku. Model vlasništva, pravila posuđivanja, životni vijek i ograničenja promjenjivosti prisiljavaju vas da promijenite način na koji razmišljate i strukturirate svoj kod. Uobičajeno je da kompajler odbije mnoge pokušaje u prvih nekoliko mjeseci dok ne "usvojite" ono što očekuje od vas.

Druga strana medalje je da, kada se ta početna faza završi, Produktivnost se može značajno povećati na srednji i dugi rokČinjenica da se mnoge greške uhvate tokom kompajliranja smanjuje sate debagovanja, ponovljenog testiranja i suptilnih regresija, nešto što je posebno primjetno kod proizvoda koji se moraju održavati godinama i razvijati s novim funkcijama.

Što se tiče dokumentacije i resursa za obuku, Rust ima Visokokvalitetni službeni materijali i vrlo edukativna zajednicaKnjige, kursevi, online dokumentacija i repozitoriji primjera olakšavaju cijelim timovima strukturiranu obuku, iako to zahtijeva izdvajanje vremena i budžeta za to, nešto što ne mogu svi projekti odmah priuštiti.

Razvojni alati i iskustvo na projektima

U C projektima za ugrađene sisteme, uobičajeno je naići na heterogena mješavina alataTo uključuje razne kompajlere, vlasničke IDE-ove, Makefile-ove ili CMake-ove, prilagođene skripte i, u mnogim slučajevima, ručno upravljanje zavisnostima. Iako upravitelji zavisnosti poput vcpkg-a ili Conana postoje, nije neuobičajeno da svaka kompanija ima svoj vlastiti "koktel" alata i internih konvencija.

Za statičku analizu, detekciju curenja ili probleme konkurentnosti u C-u, obično se pribjegava eksterni uslužni programi poput Valgrinda, AddressSanitizera, ThreadSanitizera ili određenih linteraTo su moćni i dobro uspostavljeni alati, ali ih je potrebno pravilno integrirati i konfigurirati, a često nisu dio standardnog radnog procesa za sve programere u timu.

Rust pruža mnogo ujedinjenije iskustvo zahvaljujući Cargo, njegov sistem izgradnje i menadžer paketaPomoću jednog alata možete kreirati projekte, dodavati zavisnosti, kompajlirati, pokretati testove, generirati dokumentaciju i upravljati verzijama. Nadalje, ekosistem uključuje alate kao što je [lista alata]. hrđanje formatirati kod i Clippy kako bi se otkrili sumnjivi obrasci kvalitete i predložila poboljšanja.

U ugrađenom sistemu, ova homogenost je dobrodošla, jer Pojednostavljuje postavljanje novih repozitorija i saradnju između timova.Dodavanje HAL-a novom mikrokontroleru obično se svodi na uključivanje crate-a u konfiguracijsku datoteku i početak njegovog korištenja, umjesto da se morate boriti s uključenim putanjama i raspršenim skriptama za izgradnju.

To ne negira činjenicu da, u nekim vrlo zatvorenim industrijskim tokovima, C alati i dalje nude usavršeniju integraciju s hardverskim programerima, JTAG debuggerima ili certificiranim okruženjima. U tim slučajevima, Rust može zahtijevati dodatni rad kako bi se uklopio u postojeći lanac alata, posebno ako dobavljač još ne nudi službenu podršku.

Integracija s postojećim kodom i progresivno usvajanje

Malo uređaja ima luksuz pokretanja ažuriranja firmvera od nule. Češće je imati značajna baza C koda već u produkciji Rust je prošao revizije, certifikate i godine održavanja. Potpuno prepisivanje u Rustu ne bi bilo samo izuzetno skupo, već i rizično: svaka prepisana linija je potencijalni novi izvor grešaka.

U ovom kontekstu, C i dalje ima jasnu prednost, tj. Proširivanje sistema C sa još C je trivijalnoMožete refaktorirati module, modernizirati dijelove kodne baze ili dodati funkcije bez potrebe za uvođenjem nove tehnologije odjednom, što pojednostavljuje upravljanje rizicima.

Sada je Rust dizajniran da koegzistiraju prilično dobro s C-om putem FFI-ja (interfejsa stranih funkcija)Moguće je izložiti C funkcije kao API-je koje Rust može pozivati ​​i obrnuto, izgraditi Rust module koji izvoze interfejse sa C ABI-jima za upotrebu iz postojećeg firmvera. Ovaj pristup omogućava fazno usvajanje: najosjetljivije komponente (npr. sigurnosni moduli ili složeni parseri) mogu se prepisati u Rustu dok ostatak sistema ostaje u C-u.

Međutim, granice između C-a i Rusta zahtijevaju Posebna pažnja posvećena je definiciji struktura podataka, poravnanju, upravljanju memorijom i konvencijama pozivanja.Ova područja se obično proglašavaju kao nesigurno U Rustu, ovo uključuje uspostavljanje vrlo jasnog ugovora sa C svijetom kako bi se izbjegla iznenađenja. Uz pravilnu disciplinu, ova hibridna strategija se pokazala održivom čak i u velikim projektima.

Za mnoge timove, ovaj pristup koegzistenciji je razuman način da Počnite koristiti prednosti Rusta bez bacanja godina ulaganja u CIstovremeno, omogućava vam da steknete praktično iskustvo s novim jezikom u kontroliranom okruženju prije nego što ga počnete koristiti u većim dijelovima firmvera.

Tipični slučajevi upotrebe C-a i Rusta u ugrađenom firmveru

U oblasti tradicionalnijih ugrađenih sistema, sa jednostavni mikrokontroleri, vrlo strogi zahtjevi za rad u realnom vremenu i ekosistemi u velikoj mjeri fokusirani na jednog dobavljačaC ostaje prirodan izbor. Dostupnost primjera, biblioteka dobavljača, certificiranih upravljačkih programa i iskusnog osoblja uveliko smanjuje početne probleme i rizike projekta.

Također u sektorima sa okviri za certifikaciju koji su uveliko fokusirani na CNa primjer, u određenim automobilskim ili aeronautičkim propisima, održavanje C-a kao primarnog jezika bolje odgovara ustaljenim procesima, postojećim alatima za statičku analizu i revizijama koje se godinama oslanjaju na ovaj tehnološki paket.

S druge strane, hrđa savršeno pristaje novi projekti gdje su sigurnost i dugoročna robusnost prioritetiIoT uređaji izloženi internetu, sistemi gdje ranjivost može imati ozbiljan utjecaj ili firmver koji će se godinama ažurirati daljinski mogu imati velike koristi od jezika koji drastično smanjuje greške u memoriji i prisiljava eksplicitno rukovanje greškama i stanjima.

Nadalje, u okruženjima gdje oprema nema veliki namjenski odjeli za kontrolu kvalitete ili sigurnostRust djeluje kao neka vrsta ugrađene sigurnosne mreže. Mnoge prakse koje su "preporučene" u C-u (provjera svakog pokazivača, neignorisanje kodova grešaka, izbjegavanje nekonzistentnih međustanja) postaju obavezni zahtjevi za kompajliranje koda.

Konačno, Rustov modularni pristup i njegov ekosistem sanduka čine ga posebno atraktivnim za projekti koji žele dijeliti logiku u različitim okruženjima (na primjer, dijeljenje poslovne logike između backenda i firmvera ili ponovna upotreba parsera i kriptografskih biblioteka na više platformi), pod uslovom da se vodi računa o specifičnom niskonivojskom dijelu za svaki cilj.

Nakon svega ovoga, slika koja se pojavljuje je jasna: C ostaje nepobjediv kao jezik kontinuiteta i kompatibilnosti u većem dijelu današnjeg ugrađenog firmvera, dok se Rust pozicionira kao vrlo jak kandidat za nove razvoje gdje su sigurnost i dugoročno održavanje jednako važni kao i same performanse.

Kako odlučiti: praktični kriteriji za odabir jezika u vašem sljedećem firmveru

Izbor između Rusta i C-a za određeni embedded projekat rijetko je isključivo tehničko pitanje; Realnost vašeg tima, vaši rokovi i vaši poslovni zahtjevi također dolaze do izražaja.Neki kriteriji koji često prave razliku su količina naslijeđenog koda, potrebe za certifikacijom, sigurnosna kritičnost i vrijeme dostupno za obuku tima.

Ako vaša organizacija odugovlači Godine stabilnog, dobro testiranog C koda sa utvrđenim procesimaA ako su vaše trenutne potrebe više vezane za proširenje funkcionalnosti nego za redizajn arhitekture, savršeno je logično da se držite C-a. Promjena jezika bez uvjerljivog razloga može donijeti više problema nego rješenja, posebno u sistemima koji već ispunjavaju svoje ciljeve performansi i pouzdanosti.

S druge strane, ako započinjete novi proizvod bez jake ovisnosti o naslijeđenom koduPogotovo ako planirate živjeti povezani, ažurirati na daljinu i rukovati osjetljivim podacima, ulaganje vremena u usvajanje Rusta može biti vrlo vrijedan poduhvat. Početna krivulja učenja kompenzirana je robusnijom i lakšom za održavanje kodnom bazom tokom godina.

Također ima smisla razmotriti međupristupe, kao što je Počnite uvoditi Rust u izolirane i dobro definirane module iz postojećih projekata: na primjer, komunikacijski slojevi gdje želite garantirati da nema prelijevanja ili komponente koje upravljaju ključevima i kriptografijom. Ovo vam omogućava da praktično procijenite utjecaj Rusta u vašem specifičnom kontekstu prije donošenja širih odluka.

Na kraju, umjesto traženja "ukupnog pobjednika", korisno je vidjeti Rust i C kao komplementarni alati unutar istog arsenalaSvaki ima vrlo jasne prednosti i očigledna ograničenja; ključno je iskoristiti najbolje od oba tamo gdje dodaju najveću vrijednost u životnom ciklusu vašeg firmvera.

Gledajući širu sliku, jasno je da C održava vodeću ulogu u embedded firmveru zahvaljujući svojim dubokim korijenima, podršci proizvođača i apsolutnoj kontroli hardvera.Ali Rust je također prevazišao okvire novosti i postao vrlo ozbiljna alternativa u novim razvojima, posebno tamo gdje su sigurnost, sigurna konkurentnost i održavanje ključni. Za mnoge timove, najrazumniji pristup je kombinovanje kontinuirane upotrebe C-a sa postepenim usvajanjem Rusta u kritičnim područjima, čime se grade robusniji ugrađeni sistemi bez napuštanja svega što je naučeno u posljednjih nekoliko decenija.