0.0.0	~~2020年4月23日~~

#17 在 #cxx

每月 44 次下载

MIT/Apache

2KB

CXX — Rust 和 C++ 之间的安全 FFI

此库提供了一种安全的机制，用于从 Rust 调用 C++ 代码和从 C++ 调用 Rust 代码，不受使用 bindgen 或 cbindgen 生成不安全 C 风格绑定时可能出现的问题的影响。

但这并不意味着 100% 的 C++ 代码都是不安全的。在审计项目时，您需要审计所有不安全的 Rust 代码和所有的 C++ 代码。在这个新模型下，核心安全断言是只需审计 C++ 一侧就足以发现所有问题，即 Rust 一侧可以是 100% 安全的。

[dependencies]
cxx = "1.0"

[build-dependencies]
cxx-build = "1.0"

编译器支持：需要 rustc 1.67+ 和 C++11 或更高版本
发布说明

指南

请参阅 https://cxx.rs 了解教程、参考材料和示例代码。

概述

我们的想法是在一个 Rust 模块（下一节将展示示例）中定义 FFI 边界两边的签名，并将它们嵌入在一起。基于此，CXX 可以获得关于边界的完整视图，以执行对类型和函数签名的静态分析，以维护 Rust 和 C++ 的不变性和要求。

如果一切检查无误，那么 CXX 将使用一对代码生成器一起生成两边的相关 extern "C" 签名以及任何必要的静态断言，以便在构建过程中进行正确性验证。在 Rust 一侧，此代码生成器只是一个属性过程宏。在 C++ 一侧，如果您的构建由 Cargo 管理，则可以是一个小的 Cargo 构建脚本，或者对于其他构建系统（如 Bazel 或 Buck），我们提供了一个命令行工具，它生成头文件和源文件，应该很容易集成。

生成的 FFI 桥接操作没有开销或可忽略的开销，即没有复制、序列化、内存分配或运行时检查的需要。

FFI签名可以使用任一端的本地类型，例如Rust的String或C++的std::string，Rust的Box或C++的std::unique_ptr，Rust的Vec或C++的std::vector等，可以任意组合。CXX确保了一个ABI兼容的签名，双方都理解，基于内置绑定对关键标准库类型的绑定，以在另一种语言中暴露这些类型的惯用API。例如，当从Rust操作C++字符串时，其len()方法成为调用C++定义的size()成员函数；当从C++操作Rust字符串时，其size()成员函数调用Rust的len()。

示例

在这个示例中，我们正在编写一个Rust应用程序，该程序希望利用现有的C++客户端来利用大型文件blobstore服务。blobstore支持用于不连续缓冲区上传的put操作。例如，我们可能正在上传环形缓冲区的快照，这通常会由2个块组成，或者由于某些原因在内存中分散的文件片段。

此示例的可运行版本位于此存储库的demo目录下。要尝试运行，请在该目录下运行cargo run。

#[cxx::bridge]
mod ffi {
    // Any shared structs, whose fields will be visible to both languages.
    struct BlobMetadata {
        size: usize,
        tags: Vec<String>,
    }

    extern "Rust" {
        // Zero or more opaque types which both languages can pass around but
        // only Rust can see the fields.
        type MultiBuf;

        // Functions implemented in Rust.
        fn next_chunk(buf: &mut MultiBuf) -> &[u8];
    }

    unsafe extern "C++" {
        // One or more headers with the matching C++ declarations. Our code
        // generators don't read it but it gets #include'd and used in static
        // assertions to ensure our picture of the FFI boundary is accurate.
        include!("demo/include/blobstore.h");

        // Zero or more opaque types which both languages can pass around but
        // only C++ can see the fields.
        type BlobstoreClient;

        // Functions implemented in C++.
        fn new_blobstore_client() -> UniquePtr<BlobstoreClient>;
        fn put(&self, parts: &mut MultiBuf) -> u64;
        fn tag(&self, blobid: u64, tag: &str);
        fn metadata(&self, blobid: u64) -> BlobMetadata;
    }
}

现在，我们只需提供extern "Rust"块中所有内容的Rust定义和extern "C++"块中所有内容的C++定义，然后就可以安全地双向调用了。

以下是演示中涉及的源文件的完整集合链接

要查看CXX代码生成器为示例在两种语言中生成的代码

   # run Rust code generator and print to stdout
   # (requires https://github.com/dtolnay/cargo-expand)
$ cargo expand --manifest-path demo/Cargo.toml

   # run C++ code generator and print to stdout
$ cargo run --manifest-path gen/cmd/Cargo.toml -- demo/src/main.rs

细节

如示例所示，FFI边界涉及三种类型的项目

共享结构体 — 其字段对两种语言都是可见的。cxx::bridge中编写的定义是单一的真实来源。
不可见类型 — 其字段对其他语言是保密的。这些类型不能通过值传递FFI，而只能通过间接方式传递，如引用&、Rust的Box或UniquePtr。可以是类型别名，用于任意复杂的通用语言特定类型，具体取决于您的用例。

函数 — 在任一语言中实现，可从另一语言调用。

在CXX桥接的extern "Rust"部分，我们列出了Rust作为真理来源的类型和函数。这些类型和函数都隐式地引用了CXX桥接的父模块super。你可以把上面例子中列出的两个项目看作是use super::MultiBuf和use super::next_chunk的使用，只是它们被重新导出到C++中。父模块将直接包含简单事物的定义，或者包含相关的use语句，从其他地方引入这些定义。在extern "C++"部分，我们列出了C++作为真理来源的类型和函数，以及声明这些API的头文件。未来，这部分可能通过bindgen-style从头文件生成，但目前为止，我们需要写出签名；静态断言将验证它们的准确性。您的函数实现本身，无论是用C++还是Rust编写的，不需要定义为extern "C" ABI或no_mangle。CXX会在需要的地方放入正确的垫片，以确保一切都能正常工作。与bindgen和cbindgen的比较请注意，在CXX中，所有的函数签名都有重复：它们在定义实现的地方（在C++或Rust中）被写出一次，然后在cxx::bridge模块内部再次写出。尽管编译时断言保证了这些签名保持同步，但这与bindgen和cbindgen不同，在bindgen中，人类一次输入函数签名，工具在一个语言中消费它们并在另一个语言中输出。这是因为在某种程度上，CXX扮演了一个不同的角色。它在bindgen或cbindgen之下是一个更低级的工具；你可以把它看作是我们所知的extern "C"签名的替代品，而不是bindgen的替代品。在CXX之上构建一个更高级的bindgen-like工具是合理的，该工具消耗C++头文件和/或Rust模块（和/或类似Thrift的IDL）作为真理来源，并生成cxx::bridge，消除重复，同时利用CXX的静态分析安全保证。但是请注意，在其他方面，CXX比bindgen更高级，它支持常见的标准库类型。通常，当使用bindgen处理惯用的C++ API时，我们最终会手动将API包装在C样式的原始指针函数中，应用bindgen以获取不安全的原始指针Rust函数，然后再次复制API以在Rust中以惯用方式暴露这些API。这是一种更糟糕的重复形式，因为它从头到尾都是不安全的。通过使用CXX桥接作为语言之间的共享理解，而不是使用extern "C" C样式的签名作为共享理解，常见的FFI用例可以100%安全地使用代码表达。也可以合理地混合和匹配，使用CXX桥接器来处理95%的简单FFI，而对于剩余的少数特殊签名，则用传统方法结合bindgen和cbindgen来处理，如果CXX的静态限制有任何阻碍。如果您最终采用这种方法，请提交一个问题，以便我们知道如何使工具更具表现力。基于Cargo的配置对于由Cargo编排的构建，您将使用一个构建脚本，该脚本运行CXX的C++代码生成器，并编译生成的C++代码以及您crate中的任何其他C++代码。标准的构建脚本如下。指示的行返回一个cc::Build实例（来自通常广泛使用的cc crate），您可以在其中设置任何额外的源文件和编译器标志，就像平常一样。 # Cargo.toml [build-dependencies] cxx-build = "1.0" // build.rs fn main() { cxx_build::bridge("src/main.rs") // returns a cc::Build .file("src/demo.cc") .std("c++11") .compile("cxxbridge-demo"); println!("cargo:rerun-if-changed=src/main.rs"); println!("cargo:rerun-if-changed=src/demo.cc"); println!("cargo:rerun-if-changed=include/demo.h"); } 非Cargo配置对于Bazel或Buck等非Cargo构建，CXX提供了一种以独立命令行工具的方式调用C++代码生成器的替代方法。该工具作为crates.io上的cxxbridge-cmd crate打包，也可以从本repo的gen/cmd目录构建。 $ cargo install cxxbridge-cmd $ cxxbridge src/main.rs --header > path/to/mybridge.h $ cxxbridge src/main.rs > path/to/mybridge.cc 安全性请注意，这个库的设计是有意限制性和有争议的！它的目标不是足够强大以处理两种语言中的任意签名。相反，这个项目是关于切割出一组合理的表现力功能，关于这些功能，我们可以今天做出有用的安全保证，也许随着时间的推移可以扩展。您可能会发现，要有效地使用CXX桥接器需要一些实践，因为它不会以您习惯的所有方式工作。确保安全性的考虑因素包括设计上，我们的配对代码生成器协同工作，控制FFI边界的两侧。通常在Rust中，编写自己的extern "C"块是不安全的，因为Rust编译器无法知道您编写的签名是否实际上与在另一种语言中实现的签名匹配。使用CXX，我们实现了这种可见性并知道另一侧的内容。我们的静态分析可以检测并阻止将不应按值传递的类型从C++传递到Rust，例如，因为它们可能包含内部指针，这些指针会被Rust的移动行为搞砸。令人惊讶的是，Rust中的struct和C++中的struct可以有完全相同的布局/字段/对齐/一切，但仍然在按值传递时没有相同的ABI。这是一个长期存在的bindgen漏洞，会导致看起来绝对正确的代码出现段错误（rust-lang/rust-bindgen#778）。CXX了解这一点，可以在需要的地方透明地插入必要的零成本解决方案，因此您可以放心地按值传递您的struct。这是通过拥有边界的两侧而不是一侧来实现的。模板实例化：例如，为了在Rust中公开由真实的C++ unique_ptr支持的UniquePtr<T>类型，我们有方法使用Rust特质将行为连接到由另一种语言执行的模板实例化。内置类型除了所有原始类型（i32 <=> int32_t）之外，以下常见类型可用于共享struct的字段以及函数的参数和返回值。 Rust中的名称 C++中的名称限制字符串 rust::String &str rust::Str &[T] rust::Slice<const T> ^{不能包含不透明的C++类型} &mut [T] rust::Slice<T> ^{不能包含不透明的C++类型} CxxString std::string ^{不能按值传递} Box rust::Box ^{不能包含不透明的C++类型} UniquePtr std::unique_ptr ^{无法容纳不透明的Rust类型} SharedPtr std::shared_ptr ^{无法容纳不透明的Rust类型} [T; N] std::array ^{不能包含不透明的C++类型} Vec rust::Vec ^{不能包含不透明的C++类型} CxxVector std::vector ^{不能按值传递，无法容纳不透明的Rust类型} *mut T, *const T T*, const T* ^{具有原始指针参数的函数必须声明为unsafe才能调用} fn(T, U) -> V rust::Fn ^{目前只实现了从Rust到C++的传递} Result throw/catch ^{仅允许作为返回类型} 此repo中的include/cxx.h文件定义了rust命名空间的C++ API。您在处理这些类型时需要在C++代码中包含此头文件。以下类型计划“很快”支持，但尚未实现。我不认为这些有什么困难，但这需要为每种类型设计一个不错的API。 Rust中的名称 C++中的名称 BTreeMap ^tbd HashMap ^tbd Arc ^tbd Option ^tbd ^tbd std::map ^tbd std::unordered_map 剩余工作 CXX还处于早期阶段；我将其作为一个最小可行产品发布，以收集关于方向和邀请合作者的反馈。请检查开放问题。特别是，如果您在构建或链接这些内容时遇到问题，请报告这些问题。我相信有方法可以使构建方面更友好或更健壮。最后，我比C++库设计更了解Rust库设计，因此如果您有任何建议，我将很乐意在项目中使C++ API更符合惯例。许可 ^{根据您的选择，受Apache License, Version 2.0或MIT许可的许可。} _{除非您明确说明，否则您提交给此项目的任何有意提交的贡献，根据Apache-2.0许可证定义，将双重许可如上所述，没有额外的条款或条件。}

Rust中的名称	C++中的名称	限制
字符串	rust::String
&str	rust::Str
&[T]	rust::Slice<const T>	^{不能包含不透明的C++类型}
&mut [T]	rust::Slice<T>	^{不能包含不透明的C++类型}
CxxString	std::string	^{不能按值传递}
Box	rust::Box	^{不能包含不透明的C++类型}
UniquePtr	std::unique_ptr	^{无法容纳不透明的Rust类型}
SharedPtr	std::shared_ptr	^{无法容纳不透明的Rust类型}
[T; N]	std::array	^{不能包含不透明的C++类型}
Vec	rust::Vec	^{不能包含不透明的C++类型}
CxxVector	std::vector	^{不能按值传递，无法容纳不透明的Rust类型}
mut T, const T	T, const T	^{具有原始指针参数的函数必须声明为unsafe才能调用}
fn(T, U) -> V	rust::Fn	^{目前只实现了从Rust到C++的传递}
Result	throw/catch	^{仅允许作为返回类型}

Rust中的名称	C++中的名称
BTreeMap	^tbd
HashMap	^tbd
Arc	^tbd
Option	^tbd
^tbd	std::map
^tbd	std::unordered_map

无运行时依赖项