Historia pytania:
Przed RFC 1758, Rust nie miał mechanizmu do nowotworów bezkosztowych w FFI. Programiści polegali na #[repr(C)], który narzuca deterministyczny układ, ale może wprowadzać niepotrzebne wypełnienia, lub #[repr(Rust)], który pozwala na agresywne optymalizacje kompilatora, takie jak przearanżowanie pól i wykorzystanie nisz. To stworzyło zasadniczy dylemat: egzekwowanie bezpieczeństwa typów przez struktury opakowujące a gwarantowanie stabilności ABI dla zdalnych wywołań funkcji. #[repr(transparent)] zostało wprowadzone w celu rozwiązania tego napięcia, obiecując, że struktura zawierająca dokładnie jedno pole o niezerowej wielkości ma tożsamy układ pamięci, wyrównanie i konwencję wywołania jak to pole.
Problem:
Kiedy nowotwór #[repr(Rust)] jest przekazywany przez referencję lub wartość do funkcji obcej oczekującej surowego wewnętrznego typu (np. uchwyt u32), kompilator ma swobodę przearanżowywania pól opakowującego lub stosowania optymalizacji nisz. Ponieważ #[repr(Rust)] nie oferuje żadnych gwarancji stabilności, opakowanie może zyskać inną wielkość, ważność wzoru bitowego lub wypełnienia niż wewnętrzny typ. To powoduje, że zdalny kod C może potencjalnie odczytywać źle wyrównaną pamięć, interpretować nieważne wzory bitowe jako ważne wskaźniki lub uzyskiwać dostęp do niepoprawnych danych, co prowadzi do natychmiastowego niezdefiniowanego zachowania i katastrofalnej korupcji pamięci na granicy.
Rozwiązanie:
#[repr(transparent)] instruuje kompilator, aby egzekwować, że opakowanie i jego jedyne pole o niezerowej wielkości dzielą identyczną wielkość, wyrównanie i ABI, skutecznie czyniąc opakowanie abstrakcją dostępną tylko w czasie kompilacji. Kompilator statycznie weryfikuje, że dokładnie jedno pole ma niezerową wielkość (pozwalając na dodatkowe pola PhantomData lub typu jednostkowego). To pozwala na bezpieczne przekształcenie opakowania w wewnętrzny typ lub bezpośrednie przekazanie przez granice FFI bez opłat za konwersję, co pokazano poniżej:
#[repr(transparent)] pub struct SocketFd(i32); extern "C" { fn close_socket(fd: i32); } pub fn close(sock: SocketFd) { // Bezpieczne: SocketFd ma identyczne ABI jak i32 unsafe { close_socket(sock.0); } }
Programista integruje aplikację Rust z API gniazda netlink jądra Linux, które komunikuje się za pomocą surowych całkowitych uchwytów plików. Aby zapobiec przypadkowemu mieszaniu typów gniazd, definiują struct NetlinkSocket(i32) jako nowotwór. Początkowo oznaczone jako #[repr(Rust)], przekazują odniesienia do NetlinkSocket do wywołania extern "C", oczekującego wskaźnika do i32. W trakcie lokalnego rozwoju wydaje się, że wszystko działa poprawnie, ale w budowach produkcyjnych wykorzystujących LTO (Optymalizacja w Czasie Linkowania) kompilator stosuje agresywne optymalizacje nisz do NetlinkSocket, zasadniczo zmieniając jego reprezentację pamięci. Moduł jądra C otrzymuje zniekształcony adres wskaźnika, co prowadzi do krytycznego paniki w jądrze.
Ewaluowane były trzy różne rozwiązania. Po pierwsze, uznano, że #[repr(C)] będzie odpowiednie, aby wymusić stabilny, deterministyczny układ. Choć zapewniało to bezpieczeństwo pamięci, wyłączało korzystne optymalizacje nisz i potencjalnie wprowadzało bajty wypełnienia, niepotrzebnie powiększając rozmiar struktury i komplikując interfejs API dla czysto wewnętrznych zastosowań Rust.
Po drugie, próbowano ręcznie dereferencjonować wewnętrzne pole (socket.0) w każdym miejscu wywołania FFI. To podejście unikało założeń układu, ale okazało się bardzo podatne na błędy i verbose, zasadniczo łamiąc barierę abstrakcji i pozwalając na propagację surowych, nietypowanych całkowitych liczb przez kod bazowy bez kontroli.
Po trzecie, zastosowano #[repr(transparent)] do NetlinkSocket. Ta gwarancja zapewniła ekwiwalencję ABI z i32, zachowując jednocześnie odrębność typów w Rust, co pozwoliło na płynne przekazywanie struktury do C bez ręcznego rozpakowywania lub logiki konwersji.
Zespół inżynieryjny ostatecznie przyjął #[repr(transparent)], co całkowicie wyeliminowało paniki jądra, zachowując jednocześnie zerową kosztową abstrakcję. Opakowanie teraz działa jako rygorystyczna ochrona w czasie kompilacji w Rust, pozostając całkowicie niewidoczne i zgodne z ABI C.
Dlaczego #[repr(transparent)] wyraźnie zabrania jednemu polu o niezerowej wielkości bycia typem o zerowej wielkości, i jak to ograniczenie zapobiega niezdefiniowanemu zachowaniu w FFI przy przekazywaniu przez wartość?
#[repr(transparent)] gwarantuje, że opakowanie jest identyczne z ABI jego wewnętrznym typem. Typ o zerowej wielkości (ZST) ma rozmiar zero i wyrównanie 1. Gdyby opakowanie mogło zawierać wyłącznie ZST, powstała struktura byłaby sama zerowej wielkości; jednak C nie ma typów o zerowej wielkości, a jego konwencje wywołania zazwyczaj oczekują przynajmniej jednego bajtu danych dla semantyki „przekazywania przez wartość”. Przekazywanie ZST przez wartość przez FFI stanowi niezdefiniowane zachowanie, ponieważ C nie może reprezentować ani prawidłowo obsługiwać zerowych wartości. To ograniczenie zapewnia, że opakowanie zawsze będzie miało tą samą niezerową wielkość i wyrównanie jak jego pole wewnętrzne, zachowując dobrze zdefiniowane ABI zgodne z oczekiwaniami C.
Czy #[repr(transparent)] może być stosowane do wyliczeń i jakie ograniczenia regulują widoczność dyskryminanta przez granice FFI?
Tak, #[repr(transparent)] może być stosowane do wyliczeń zawierających dokładnie jedną wariant, który sam musi zawierać dokładnie jedno pole o niezerowej wielkości. Wyliczenie musi również określać explicite prymitywną reprezentację (np. #[repr(u8)]), aby zdefiniować typ dyskryminanta. Jednak #[repr(transparent)] gwarantuje, że ostateczny układ jest identyczny z polem o niezerowej wielkości, skutecznie eliminując dyskryminanta z ABI. W konsekwencji, przekazanie takiej wyliczenia do C jako typu pola wewnętrznego jest bezpieczne, ale próba uzyskania dostępu lub interpretacji wartości dyskryminanta przez C skutkuje niezdefiniowanym zachowaniem. Kandydaci często mylą, że dyskryminant fizycznie nie jest obecny w układzie, a nie jedynie ukryty lub niedostępny.
Jak obecność PhantomData<T> jako dodatkowego pola w strukturze #[repr(transparent)] wpływa na wariancję i sprawdzanie opuszczenia bez wpływania na ABI?
PhantomData<T> jest wyraźnie dozwolone jako pole pomocnicze w strukturach #[repr(transparent)], ponieważ jest zerowej wielkości z wyrównaniem 1. Choć nie zmienia wielkości, wyrównania ani ABI opakowania (ponieważ #[repr(transparent)] uwzględnia tylko jedno pole o niezerowej wielkości dla układu), informuje kompilator o strukturalnym związku z parametrem typu T. To wpływa na wariancję: na przykład, struktura Wrapper<T>(*const T, PhantomData<fn(T)>) będzie kontrawariantna w stosunku do T z powodu znacznika PhantomData. Dodatkowo, umożliwia analizę Drop Check (dropck), aby rozpoznać, że struktura może konceptualnie posiadać dane typu T, co zapobiega niespójności, gdy T ma niezbyt długie życie. Kandydaci często błędnie wierzą, że PhantomData wpływa na układ pamięci lub ignorują jego istotną rolę w utrzymaniu invariantów życia i własności dla ogólnych opakowań FFI.