ManuallyDropは、値がスコープを出るときにコンパイラの自動的なDrop::drop呼び出しを抑制します。配列や類似の固定サイズコレクションのIntoIteratorを実装する際、要素はptr::readを介して抽出され、ビット単位の移動が行われ、ソースメモリが論理的に初期化されていない状態になります。ManuallyDropを使用しない場合、もし生成された要素の破棄中にパニックが発生すると、アンワインディングメカニズムが配列のデストラクタを呼び出し、すでに移動されたスロットを含むすべてのスロットの破棄を試み、二重ドロップによる未定義の動作が引き起こされます。ストレージをManuallyDropでラップすることにより、実装者は残りの要素のみを破棄する責任を負い、通常はインデックスを追跡し、カスタムDrop実装でサフィックスを手動で破棄します。
あなたはFixedVec<T, const N: usize>を構築しており、これは定数容量のスタック割り当てベクターで、コレクションを値で消費するIntoIteratorを実装しなければなりません。
根本的な問題は、要素の抽出中に発生します:各Tを内部の配列から移動して値として返す必要があります。ユーザーのTの実装が破棄中にパニックを引き起こすと、イテレータが部分的に消費されていても、アンワインディングプロセスは残りの要素をきれいにする必要があります。しかし、いくつかの要素はptr::readを介してすでにビット単位で移動されており、元のメモリ位置は初期化されていません。バック配列がManuallyDropでラップされていない場合、そのデストラクタはすべてのスロットを生きているTインスタンスとして扱い、これらにdrop_in_placeを呼び出すことになり、移動された要素の二重ドロップ(未定義の動作)や解放後の使用のリスクを引き起こします。
解決策1:すべてのスロットにOption<T>を使用します。 このアプローチは、配列に**Option<T>**を格納し、**take()を使って値を取得することで、Noneを残します。 長所:完全に安全で、unsafeコードブロックは必要なく、明確な意味を持ちます。 短所:識別子のメモリオーバーヘッド(通常は要素ごとに1バイトのパディング)、キャッシュの非効率性、および使用されない場合でもすべてのスロットをSome(value)**で初期化する必要があります。
解決策2:配列にManuallyDropを使用します。 内部の**[T; N]をManuallyDrop<[T; N]>でラップします。値を生成する際に、値を読み取り、カウンターをインクリメントします。イテレータのDropで、ptr::drop_in_placeを使用して残りの範囲だけを手動で破棄します。 長所:オーバーヘッドゼロ、ラフT**と同じメモリレイアウト、直接メモリ操作を許可します。 短所:unsafeコードを必要とし、初期化されたスロットに関する複雑な不変条件の維持が必要で、手動の破棄ロジックが不正確な場合にはリークのリスクがあります。
解決策3:ビット単位の有効性マスクを使用します。 生存しているインデックスを追跡する別々のビットセットを維持します。 長所:ビットセットの安全な抽象化を使用する限り、unsafeコードはありません。 短所:かなりの複雑さ、各アクセス時のビット操作のオーバーヘッド、キャッシュに優しくないアクセスパターンがあります。
選択された解決策と結果: 解決策2がstd::array::IntoIterの動作を一致させるために選ばれました。イテレータ構造体は配列をManuallyDropでラップし、現在のインデックスを追跡します。next()メソッドはptr::readを使用して要素を外に移動します。Drop実装はインデックスを確認し、残りのスライスに対してptr::drop_in_placeを呼び出します。これにより、すでに生成された要素を破棄中にパニックが発生しても、アンワインディングプロセスは未触のサフィックスだけをドロップし、リークと二重ドロップの両方を防ぎます。この結果、パニックを引き起こすデストラクタがあっても、メモリ安全性の不変条件を維持するゼロコストの抽象化が実現されます。
ManuallyDropはCopyトレイトとどのように相互作用し、Copy型のイテレータを実装する際に微妙なバグを引き起こす可能性がありますか?
ManuallyDrop<T>は、T: Copyの場合に限り、Copyを実装します。ManuallyDropでラップされたCopy型の配列を反復処理する際、ptr::readや単純な代入を使用すると、移動ではなくビット単位のコピーが作成されます。候補者はしばしば、ManuallyDropが重複のすべての形式を防ぐことを前提としていますが、Copy型の場合、コンパイラは移動するつもりの値を暗黙のうちにコピーする場合があり、これにより「移動された」値がソース位置でまだ生きていると見なされるシナリオが生じます。これは整数のテスト中に二重ドロップの問題を隠す可能性がありますが、非Copy型では未定義の動作として現れます。正しいアプローチは、Copyの境界に関係なく、ManuallyDropの内容を移動されたものとして扱うか、ManuallyDrop::into_innerを使用して明示的に置き換えることです。
イテレータ中にパニックが発生した場合、単にmem::forgetを呼び出すだけで十分ではないのはなぜですか?それよりも部分的な消費を処理するカスタムDropを実装する必要がありますか?
mem::forgetはイテレータを消費しますが、破棄せずに消費します。これは、すでに移動された要素の二重ドロップを防ぐことは確かですが、まだ生成されていない残りのすべての要素をリークさせてしまい、Rustコレクションに期待されるリソース管理の保証を違反します。Dropトレイトは、まさにアンワインディング中のクリーンアップを確保するために存在しています。エラーパスでmem::forgetに依存することは、安全性の問題をリソースリークに変えてしまいます。適切なパターンは、ManuallyDropを使用してストレージの自動破棄を無効にし、その後Drop実装で未生成の要素のみを手動で破棄することで、リークも二重ドロップも防ぐことを保証します。
ManuallyDrop<T>スロットから移動するためにptr::readを使用することと、ManuallyDrop::into_innerを使用することの違いは何ですか?それぞれがイテレータ実装で適切なときはいつですか?
ptr::readは値のビット単位のコピーを行い、ソースメモリは変更されず(まだ有効なTを含む)、ManuallyDrop::into_innerは値を抽出するためにManuallyDropラッパー自体を消費します。イテレータ実装では、ManuallyDropのシェルをそのまま残す必要がある場合(例:ManuallyDrop<T>の配列内)にはptr::readが使用され、残りのスロットがまだ反復処理され、後で破棄される可能性があります。一方、into_innerは、ManuallyDrop値全体を一度に消費し、部分的な状態を追跡する必要がないときに適切です。配列の個々の要素にinto_innerを使用すると、再ラップや複雑なポインタ算術が必要になりますが、ptr::readでは未初期化データの生のバッファとして配列を扱うことができます。