В мире программирования безопастность памяти и безопасность потоков традиционно рассматриваются как отдельные понятия, причем многие считают, что безопасность памяти — это отсутствие ошибок, таких как выход за границы массива или использование освобожденной памяти, а безопасность потоков — это предотвращение ошибок, связанных с параллельным выполнением кода. Однако на самом деле эти стороны неотделимы друг от друга: невозможна надежная безопасность памяти без учета безопасности потоковой модели, и наоборот. Игнорирование этого приводит к критическим уязвимостям и сбоям, способным разрушить работу всего приложения. Когда мы говорим о безопасности памяти, то, как правило, подразумеваем гарантию того, что программа не зайдет за пределы выделенной ей памяти, не будет использовать уже освобожденные участки или обращаться к данным через некорректные указатели. Эти гарантии позволяют предотвращать такие дефекты, как переполнения буфера, повреждения данных и серьезные уязвимости, связанные с эксплуатацией программ.
На первый взгляд, безопасность потоков кажется другим понятием: предотвращением условий гонки, дедлоков, и других проблем, возникающих при конкуренции нескольких потоков за одни и те же ресурсы. Тем не менее, различия в этих типах безопасности зачастую весьма условны, поскольку нарушение безопасности потоков напрямую может привести к нарушениям безопасности памяти. На практике, если несколько потоков в одновременном доступе изменяют одну и ту же область памяти без правильной синхронизации, это может привести к состоянию гонки, в котором программа получает непредсказуемые или поврежденные данные. Такая ситуация легко выливается в использование некорректных указателей, выход за границы массивов, или даже ошибки сегментирования, которые традиционно относят к нарушениям памяти. На примере языка Go можно наглядно увидеть, насколько тесно связаны эти понятия.
Несмотря на популярное мнение, что Go — это безопасный с точки зрения памяти язык, существует ситуация, когда программа с данными гонками может легко привести к краху и серьёзным ошибкам памяти. В одном из примеров демонстрируется, как глобальная переменная интерфейсного типа изменяется из одного представления в другое без должной синхронизации. Из-за этого в момент одновременного чтения и записи возникает ошибка, при которой в момент вызова метода происходит разыменование указателя с некорректным адресом, что ведет к аварийному завершению программы. Как видно из этого идеального примера, Go не предотвращает некоторые виды состояния гонки на уровне системы типов, что означает потенциальные нарушения безопасности памяти в многопоточной среде. Хотя язык предоставляет средства для обнаружения гонок во время тестирования, полагаться только на это — весьма рискованно, так как в реальных условиях эксплуатационные ситуации могут быть гораздо сложнее и хуже покрыты тестами.
Другие языки, такие как Java, подходят к решению этой проблемы иначе. Они проектируют свои модели памяти и механизмы синхронизации так, чтобы даже в многопоточном окружении программа оставалась «безопасной» с точки зрения выполнения. Это достигается путем строгого ограничения и гарантирования того, что данные гонки не приводят к нарушениям целостности памяти или выходу за границы допустимых значений. Иными словами, Java поставила задачу сделать даже некорректные по логике гонки многопоточных программ безопасными для памяти, предотвращая аварийные аварии и неконтролируемое поведение. В основе предлагаемого подхода лежит идея, что реальным критерием безопасности программы является отсутствие неопределенного поведения, то есть таких ситуаций, при которых программа нарушает свои базовые абстракции и спецификации.
Если программа способна запускать инструкции из поврежденной области памяти или обращаться к недействительным адресам, она фактически нарушает контракт языка — а это запускает целый ряд потенциальных уязвимостей, которые могут использовать злоумышленники. Несмотря на это, многие языки слишком рано разделяют понятия безопасности памяти и безопасности потоков, что нередко приводит разработчиков к ложному ощущению защищенности. На деле, безопасность потоков — неотъемлемая часть безопасности памяти, и наоборот. Исключение данных гонок из рассмотрения безопасности программы позволяет минимизировать риски и предотвращает ситуацию, когда неисправленное параллельное выполнение порождает серьезные ошибки памяти. Особенность подхода таких языков как Rust заключается именно в строгой системе типов и механизмах, которые стремятся гарантировать отсутствие состояний гонки при компиляции.
Rust смог реализовать концепцию, при которой большая часть кода по умолчанию становится «безопасной» по памяти и потокам без необходимости дополнительных усилий от программиста. Это заметно снижает вероятность возникновения критических ошибок в продуктивном коде и повышает общую надежность приложений. Современные вызовы в программном обеспечении требуют именно таких гарантий. По мере роста многопоточности и распределенных систем возрастание потенциальных точек сбоев и уязвимостей создает серьёзные проблемы безопасности. Программисты и архитекторы систем должны понимать, что разделение безопасности памяти и безопасности потоков — устаревшая концепция, а целостная гарантия безопасности предусматривает объединение обеих областей.
Эта философия позволяет выстраивать надежные, устойчивые и предсказуемые приложения, способные противостоять внутренним и внешним угрозам. Кроме того, это имеет важные последствия для разработки средств анализа и тестирования программного обеспечения. Инструменты, выявляющие состояния гонки и нарушения памяти, должны рассматриваться как части единой стратегии, а не изолированные решения. Это позволит обеспечить полный цикл гарантирования безопасности и выявления потенциальных проблем еще на ранних этапах разработки. Подводя итог, можно утверждать, что безопасность памяти и безопасность потоков — две стороны одной медали, и одна не может существовать в должном качестве без другой.
![FAA: Staffing-Related Relief Concerning Operations at DCA, JFK, and LGA [pdf]](/images/FB2ECC9B-FA15-440F-B92C-844CD8A59366)
