SQLite 对 Go 和 Rust 说“不”:揭示“安全语言”光环下的工程现实
本文永久链接 – https://tonybai.com/2025/10/26/sqlite-say-no-to-go-and-rust
大家好,我是Tony Bai。1024程序员节赠书活动火热进行中,希望大家踊跃参与,赢取自己的幸运!
在当今的软件工程界,“内存安全”已成为一种近乎道德正确的政治正确。Go 和 Rust 等现代“安全语言”,凭借其在编译期消除一整类危险 Bug 的能力,被誉为是 C/C++ 等“不安全”语言的终极替代者。然而,在这个看似不可阻挡的浪潮中,一个响亮的“不”字,却来自一个最意想不到、也最令人无法忽视的角落——SQLite。
SQLite,这个星球上部署最广泛的数据库引擎,顽固地坚守着 C 语言阵地。近日,其官网一篇详细阐述“Why Is SQLite Coded In C”的文章,在 Hacker News 等技术社区引发了轩然大波。
这篇文章,如同一把锋利的手术刀,无情地划开了“安全语言”耀眼的光环,为我们揭示了其背后,在极端可靠性工程中所面临的、不为人知的工程现实。这不再是一场简单的语言之争,而是一次对“安全”真正含义的深刻追问。
“安全语言”的光环:我们所相信的“神话”
在深入 SQLite 的论据之前,让我们先回顾一下“安全语言”带给我们的美好承诺:
- 消除未定义行为 (Undefined Behavior):杜绝数组越界、空指针解引用、use-after-free 等一系列在 C/C++ 中臭名昭著的内存安全漏洞。
- 提升开发者生产力:通过垃圾回收 (Go) 或所有权系统 (Rust),将开发者从繁琐的手动内存管理中解放出来。
- 更强大的抽象能力:提供更现代的语言特性,帮助构建更易于维护的系统。
这个光环是如此耀眼,以至于“为什么不用 Rust/Go 重写 XX?”已经成为了技术社区的日常拷问。
SQLite 的拷问:光环之下的工程现实
SQLite 团队的论点,并非源于对新技术的抗拒,而是基于数十年如一日、为航空电子设备等“生命攸关”系统构建软件所积累的独特工程哲学。他们提出的每一个“不”,都是对“安全语言”光环的一次现实拷问。
拷问一:成熟度与历史债务——被充分测试的“不安全” vs. 未知的新 Bug
光环:用安全语言重写,可以消除所有内存安全 Bug。
现实:SQLite 拥有一个经过数十年、数万亿次测试验证的 C 代码库。将其用一门全新的语言重写,即便能消除旧的内存安全问题,也“几乎肯定会引入远比修复的 Bug 更多的、全新的逻辑 Bug”。
社区的普遍共识印证了这一点:一个成熟、稳定、经过极限测试的 C 代码库,其在现实世界中的可靠性,可能远超一个用“安全语言”草率重写的新版本。正如 Google 安全博客所言:“代码会随着时间的推移而成熟并变得更安全。”
拷问二:对 OOM 的态度——优雅降级 vs. 直接放弃
光环:安全语言通过在出错时快速失败 (fail-fast) 来保证系统状态的一致性。
现实:“安全语言通常在遇到内存不足 (OOM) 的情况时,会选择中止 (abort) 程序。” SQLite 的应用场景(如飞行器软件、嵌入式设备)决定了它必须具备在极端条件下尽力恢复、优雅降级的能力,而不是简单地崩溃。SQLite 团队认为,目前的安全语言,在提供这种精细化的、可从 OOM 中恢复的机制方面,尚不明确。对于一个嵌入在飞行控制系统中的数据库而言,“崩溃”从来不是一个可接受的选项。
拷问三:对 Go 的不信任——消失的 assert()
光环:Go 的显式错误处理 (if err != nil) 比 C 的断言 (assert()) 更健壮。
现实:SQLite 的开发哲学,严重依赖 assert() 来守护那些“理论上永不应该发生”的内部不变量。这些断言在开发和测试构建中被启用,但在生产构建中则被彻底编译掉,以追求极致性能。Go 语言的设计哲学“讨厌 assert()”,它不提供这种条件编译的能力,坚持所有检查都必须在运行时存在。这种哲学上的根本分歧,使得 Go 从一开始就不在 SQLite 的考虑范围之内。
拷问四:对 Rust 的终极挑战——100% 分支覆盖率的“诅咒”
这是 SQLite 提出的最具争议、也最深刻的一个论点,直接挑战了“安全语言”编译器的核心行为。
光环:编译器自动插入的安全检查(如数组边界检查)是内存安全的基石。
现实:
“安全语言会插入额外的机器码分支,来做诸如数组边界检查之类的事情。在正确的代码中,这些分支永远不会被执行。这意味着,生成的机器码无法达到 100% 的分支测试覆盖率,而这恰恰是 SQLite 质量策略的一个重要组成部分。”
这个论点在社区中引发了激烈的辩论。其核心在于两种截然不同的信任哲学:
- 安全语言的信任哲学:信任编译器。编译器插入的 panic 分支是“安全带”,它们保证了即使在最坏的情况下,程序也不会陷入比 panic 更糟糕的未定义行为。
- SQLite 的信任哲学:只信任测试。他们追求的是对最终生成的每一个二进制指令进行 100% 的分支覆盖测试。如果编译器“偷偷”加入了他们无法在正常测试中触发的、理论上“不可达”的 panic 分支,那么这份测试的完备性就被打破了。对于 SQLite 而言,一个未经测试的代码分支,就是一个潜在的“宇宙射线位翻转”或未知 CPU bug 的攻击面。
SQLite 选择的是确定性的、可被完全验证的“不安全”,而非带有未知“黑盒”分支的“安全”。
Go 在 SQLite 世界中的真实位置
尽管 SQLite 官方对 Go 持保留态度,但 Go 社区除了通过go-sqlite3这个sqlite的go wrapper来提供直接的sqlite使用支持外,还通过另一种方式拥抱了 SQLite。modernc.org/sqlite 是一个备受关注的项目,它通过一个惊人的工程壮举——将 C 代码移植为 Go 代码——实现了一个纯 Go 版的 SQLite。
- 优点:提供了极大的便利,让 Go 开发者可以不依赖 CGO 就使用 SQLite,从而享受简单的交叉编译和静态部署。
- 缺点:性能相比原生 C 版本有下降。
这个真实案例,恰好从侧面印证了 SQLite 官方“重写可能会导致代码变慢”的担忧。
小结:工程没有“神话”,只有“权衡”
SQLite 的故事,并非是对 Go 或 Rust 的全盘否定。Go 和 Rust 在它们所设计的领域——尤其是网络服务和现代应用开发中——其提供的内存安全保障无疑是巨大的进步,并且已经阻止了无数潜在的安全漏洞。
然而,SQLite 以其自身在极端可靠性领域的独特实践,向我们揭示了一个深刻的道理:技术选型中不存在普适的“最佳实践”,只存在特定“上下文” (Context) 下的最优解。
“安全语言”的光环,在 SQLite 严苛的、基于二进制验证的工程现实面前,暴露出了一些不曾被主流开发者所审视的权衡:
- 成熟度 vs. 理论安全
- 可恢复性 vs. 快速失败
- 完全可测性 vs. 编译器保障
这场辩论提醒我们,作为工程师,我们必须警惕任何形式的技术“原教旨主义”。在“安全”这个看似不容置疑的优点面前,SQLite 勇敢地追问:“为了这份‘安全’,我们付出了什么代价?这份代价,在我所在的场景下,是否值得?”
这,或许就是 SQLite 这块用 C 语言精心打磨了四分之一个世纪的“活化石”,在今天能教给我们的、比任何数据库技术都更宝贵的工程智慧。
资料链接:
- https://news.ycombinator.com/item?id=45584464
- https://www.sqlite.org/whyc.html
你的Go技能,是否也卡在了“熟练”到“精通”的瓶颈期?
- 想写出更地道、更健壮的Go代码,却总在细节上踩坑?
- 渴望提升软件设计能力,驾驭复杂Go项目却缺乏章法?
- 想打造生产级的Go服务,却在工程化实践中屡屡受挫?
继《Go语言第一课》后,我的《Go语言进阶课》终于在极客时间与大家见面了!
我的全新极客时间专栏 《Tony Bai·Go语言进阶课》就是为这样的你量身打造!30+讲硬核内容,带你夯实语法认知,提升设计思维,锻造工程实践能力,更有实战项目串讲。
目标只有一个:助你完成从“Go熟练工”到“Go专家”的蜕变! 现在就加入,让你的Go技能再上一个新台阶!
想系统学习Go,构建扎实的知识体系?
我的新书《Go语言第一课》是你的首选。源自2.4万人好评的极客时间专栏,内容全面升级,同步至Go 1.24。首发期有专属五折优惠,不到40元即可入手,扫码即可拥有这本300页的Go语言入门宝典,即刻开启你的Go语言高效学习之旅!
商务合作方式:撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。如有需求,请扫描下方公众号二维码,与我私信联系。
© 2025, bigwhite. 版权所有.
Related posts:
评论