Keyboard shortcuts

Press or to navigate between chapters

Press S or / to search in the book

Press ? to show this help

Press Esc to hide this help

Gestion de la mémoire

Dans la très grande majorité des cas, en Rust non-unsafe, le compilateur détermine automatiquement quand il peut libérer la mémoire occupée par une valeur du programme. Mais, comme rappelé plus tôt dans ce guide, ce n'est pas une garantie : un code non-unsafe peut mener à des fuites mémoires. Aussi, certaines règles présentées dans ce chapitre ne sont pas strictement unsafe. Cependant,

Même si certaines des fonctions présentées dans la suite ne sont pas unsafe, elles ne devraient être utilisées qu'en Rust unsafe.

De manière générale, les fuites mémoires doivent être évitées.

Dans un développement sécurisé en Rust, le code NE DOIT PAS provoquer de fuites mémoire.

mem::forget et fuites de mémoire

Rust fournit des fonctions spéciales pour réclamer manuellement la mémoire : les fonctions mem::forget et mem::drop du module std::mem (ou core::mem). mem::drop déclenche simplement une récupération prématurée de la mémoire tout en appelant les destructeurs associés lorsque nécessaire, mem::forget quant à elle n'appelle pas ces destructeurs.

#![allow(unused)]
fn main() {
let pair = ('↑', 0xBADD_CAFEu32);
drop(pair);
}

Les deux fonctions sont considérées comme sûres du point de vue mémoire par Rust. Toutefois, mem::forget rendra toute ressource gérée par la valeur libérée inaccessible, mais non libérée.

#![allow(unused)]
fn main() {
let s = String::from("Hello");
forget(s); // Leak memory
}

En particulier, l'utilisation de mem::forget peut causer la rétention en mémoire de ressources critiques, menant à des interblocages et à la persistance de données sensibles en mémoire. C'est pourquoi la fonction mem::forget doit être considérée comme non sécurisée.

Dans un développement sécurisé en Rust (unsafe ou non), la fonction mem::forget de std::mem (core::mem) NE DOIT PAS être utilisée.

Le lint mem_forget de Clippy DEVRAIT être utilisé pour automatiquement détecter toute utilisation de la fonction mem::forget. Pour s'assurer de l'absence d'appel à mem::forget, ajouter la directive suivante en début de fichier racine (en général src/lib.rs ou src/main.rs) :

#![deny(clippy::mem_forget)]

La bibliothèque standard inclut d'autres moyens d'oublier une valeur :

  • Box::leak pour désactiver le destructeur de Box ;
  • Box::into_raw pour exploiter une valeur de type Box sous forme d'un pointeur raw dans un bloc unsafe, notamment dans une FFI ;
  • ManuallyDrop (dans std::mem ou core::mem) pour assurer la libération manuelle d'une valeur.

Ces alternatives peuvent mener au même type de problème de sécurité, mais ont l'avantage de faire apparaître explicitement leur but.

Dans un développement sécurisé (unsafe ou non) en Rust, le code NE DOIT PAS faire fuiter de la mémoire ou des ressources via Box::leak.

ManuallyDrop et Box::into_raw passent la responsabilité de la libération de la ressource concernée du compilateur au développeur.

Dans un développement sécurisé en Rust, toute valeur encapsulée dans le type ManuallyDrop DOIT être unwrapped pour permettre sa libération automatique (ManuallyDrop::into_inner) ou bien DOIT être manuellement libérée (unsafe ManuallyDrop::drop).

Raw pointers

L'utilisation principale des pointeurs raw est de traduire les pointeurs C en Rust. Comme leur nom l'indique, ces types sont bruts et n'ont pas toutes les capacités des pointeurs intelligents (smart pointer) de Rust. En particulier, leur libération est à la charge du programmeur.

Dans un développement sécurisé en Rust non-unsafe, les références et les smart pointers NE DEVRAIENT PAS être convertis en raw pointers. En particulier, les fonctions into_raw ou into_non_null des smart pointers Box, Rc, Arc, rc::Weak ou sync::Weak NE DEVRAIENT PAS être utilisées dans un code Rust non-unsafe.

Dans le cas contraire, l'usage de raw pointers en Rust non-unsafe DOIT être documenté et justifié.

Dans un développement sécurisé en Rust, tout pointeur raw créé par un appel à into_raw (ou into_non_null) depuis un des types suivants DOIT finalement être transformé en valeur avec l'appel à la fonction from_raw correspondant, pour permettre sa libération :

#![allow(unused)]
fn main() {
let boxed = Box::new(String::from("Crab"));
let raw_ptr = Box::into_raw(boxed);
let _ = unsafe { Box::from_raw(raw_ptr) }; // will be freed
}

La réciproque est aussi vraie, c'est-à-dire que les fonctions from_raw ne devraient pas être utilisées sur des raw pointers qui ne sont pas issus de la fonction into_raw associée. En effet, pour les cas comme Rc, la documentation officielle limite explicitement ces fonctions à ce cas d'usage, et, dans le cas de Box, la conversion de pointeurs C en Box n'est pas sûre,

Dans un développement de sécurité en Rust, les fonctions from_raw NE DOIVENT être appelées QUE sur des valeurs issues de la fonction into_raw

Dans le cas de Box::into_raw, le nettoyage automatique est possible, mais est bien plus compliqué que de re-boxer le pointeur brut et doit être évité :

#![allow(unused)]
fn main() {
// Excerpt from the standard library documentation
use std::alloc::{Layout, dealloc};
use std::ptr;

let x = Box::new(String::from("Hello"));
let p = Box::into_raw(x);
unsafe {
   ptr::drop_in_place(p);
   dealloc(p as *mut u8, Layout::new::<String>());
}
}

Puisque les autres types (Rc et Arc) sont opaques et plus complexes, la libération manuelle n'est pas possible.

Mémoire non initialisée

Par défaut, le langage Rust impose que toutes les valeurs soient initialisées, pour prévenir l'utilisation de mémoire non initialisée (à l'exception de l'utilisation de std::mem::uninitialized ou de std::mem::MaybeUninit).

La fonction std::mem::uninitialized (dépréciée depuis la version 1.38) NE DOIT PAS être utilisée. Le type std::mem::MaybeUninit (stabilisé dans la version 1.36) NE DOIT être utilisé QU'en fournissant une justification pour chaque cas d'usage.

L'utilisation de mémoire non initialisée peut induire deux problèmes de sécurité distincts :

  • la libération de mémoire non initialisée (étant également un problème de sûreté mémoire) ;
  • la non-libération de mémoire initialisée.

Le type std::mem::MaybeUninit est une amélioration de la fonction std::mem::uninitialized. En effet, il rend la libération des valeurs non initialisées bien plus difficile. Toutefois, cela ne change pas le second problème : la non-libération de la mémoire initialisée est bien possible. C'est problématique en particulier si l'on considère l'utilisation de Drop pour effacer des valeurs sensibles.