本文永久链接 – https://tonybai.com/2026/06/16/why-if-it-compiles-it-runs-rust-engineering-aesthetics-and-logic

大家好,我是Tony Bai。

在软件工程界,有一句流传甚广、近乎玄学的名言:“如果你的 Rust 代码通过了编译,那么它就已经可以正确运行了。”

对于被 Java 的空指针异常(NullPointerException)折磨得彻夜难眠、被 C++ 的段错误(Segfault)逼到崩溃、或者在 TypeScript 里为处理各种隐式错误而心力交瘁的开发者来说,这句话听起来像是一个过于美好的谎言。

为了探寻这句话背后的真相,在最近的一期访谈中,Google Android Rust 团队成员、Rust 语言团队顾问、高并发异步运行底座 Tokio 的核心维护者 Alice Ryhl,深度拆解了 Rust 的底层设计。

从一个在高中为了写《我的世界》(Minecraft)模组而自学 Java 的少女,到在 Rust 官方论坛上累计解答 10,000 个问题的硬核专家,Alice 用她极具说服力的工程视角,为我们揭示了 Rust 是如何通过极致的编译器设计、数据结构约束以及民主化的社区治理,彻底改变现代软件工程的。

终结“十亿美元的错误”:Rust 怎么保证代码的绝对可靠?

大模型时代,写代码的门槛越来越低,但系统的可靠性却变得前所未有的脆弱。Alice 认为,要让一门语言写起来有“编译即正确”的底气,最核心的底座是其类型系统

1. 彻底消灭 null 隐患

1965 年,图灵奖得主 Tony Hoare 发明了 null 引用,后来他痛苦地称其为自己的“十亿美元错误”。在 Java 中,每一次函数调用,你都必须时刻提防它可能返回一个 null,进而导致程序崩溃。

而在 Rust 中,null 这一概念根本不存在

如果你需要表达一个变量可能为空,你必须显式地使用 Option 枚举。最关键的是:编译器会用铁律强迫你在使用该变量之前,必须进行解包和空值检查。 你无法偷懒,更无法遗忘,因为漏掉任何一种可能,编译器都会拒绝通过。

2. 显式且不容忽略的错误处理

与 Java 或 C++ 依赖隐式垃圾回收或异常抛出(Exceptions)不同,Rust 采用了一种极其务实的做法:将错误作为普通的值返回

// Rust 中的经典错误处理模式
let file = File::open("config.json")?;

这里的 ? 操作符是 Rust 的标志性设计。它意味着:如果打开文件失败,立刻将错误向上抛出。如果你忘记写这个 ?,或者没有对返回的 Result 进行处理,编译器就会报出一个无法忽视的错误。

这里体现的 Rust 的工程美学在于:它不依赖开发者的细心和自律,而是用编译器的钢性约束,把所有可能在生产环境中暴雷的隐式错误,提前在开发期彻底榨干。

妙到极致的“文档即测试”(Doc Tests)

你是否经历过这样的绝望:接手一个项目,按照 README 里的示例代码复制粘贴,结果编译报了一堆错——原来代码重构了,但写文档的人忘了更新示例。

在 Rust 中,这个问题被一个近乎艺术级的设计解决了:文档即测试(Doc Tests)

在 Rust 中,只要在代码前使用三个斜杠 ///,就可以为函数编写 Markdown 格式的文档:

/// 这个函数将两个数字相加。
///
/// # Examples
///
/// ```
/// let result = my_crate::add(2, 2);
/// assert_eq!(result, 4);
/// ```
pub fn add(a: i32, b: i32) -> i32 {
    a + b
}

当你运行 cargo test 时,Cargo 会自动提取你文档注释中的所有代码示例,并把它们作为单元测试全部跑一遍!

如果你的代码发生了重构,导致文档里的示例代码跑不通了,你的整个 CI/CD 构建流就会直接宣告失败。这种设计逼迫开发者:要想代码通过编译,你的文档和示例就必须永远保持最新。 这种对代码 hygiene(工程卫生)的极致追求,让 Rust 成了开源界文档质量最扎实的生态。

新手的终极撞墙期:不要修改代码,去修改你的数据结构!

每一个从 TypeScript、Java 或 Go 转型到 Rust 的开发者,都经历过一段极其痛苦的时期——被“所有权(Ownership)”和“借用检查器(Borrow Checker)”无情蹂躏,俗称“与借用检查器肉搏”。

Alice 指出,几乎所有新手在这个阶段都犯了一个根本性的方向错误:他们试图通过不断修改局部代码逻辑来通过编译,而真正的解法往往是修改数据结构(Struct)。

1. 循环引用的噩梦

在 TypeScript 里,我们建一个“书(Book)”和“页面(Page)”的对象,习惯于让 Book 引用 Page,同时让 Page 也引用回 Book:

Book  ──────>  Page
  ▲              │
  └──────────────┘

这种循环引用在有垃圾回收(GC)的语言中很常见。但在 Rust 这种没有 GC、依靠变量作用域结束自动释放内存的语言中,循环引用会导致内存释放链条死锁(编译器不知道该先释放谁,容易造成内存泄露或双重释放)。

2. 金科玉律:“改变数据结构,而不是改变代码”

当你在 Rust 中遇到借用冲突时,正确的思路是:

  • 消除循环引用:将数据结构重构为清晰的、无环的有向无环图(DAG)或树状结构(Tree)。
  • 利用引用计数:如果一个对象确实需要在多个地方共享所有权,不要强行用引用,改用引用计数指针 Arc(Atomic Reference Counted)。

通过调用 Arc::clone(&my_obj),你可以安全、轻量地在多线程中共享同一块只读内存。当最后一个 Arc 离开作用域时,内存会自动被安全释放。

写 Rust 会强迫你在落笔之前,先在脑海中画出极其清晰的数据所有权图谱。这种高强度的架构思考,正是“编译通过即安全”的底气来源。

揭秘 unsafe 的真相:它不是后门,而是高级特权的封装

对于 Rust 的批评者来说,unsafe 关键字经常被拿来作为攻击的靶子:“既然 Rust 声称安全,为什么还留了 unsafe 这个后门?”

Alice 对此给出了极其严密的工程解释:unsafe 绝不是用来关闭编译器检查的后门,它是一个用于向语言注入全新特权的封装箱。

1. unsafe 关不掉借用检查器

一个普遍的误区是,在 unsafe 块里,你可以为所欲为。

事实是:在 unsafe 块中,借用检查器依然在严密工作。unsafe 仅仅是允许你多调用几个被标记为 unsafe fn 的特殊函数,或者操作原始指针(Raw Pointer)。

2. 极致性能与安全边界的统一

在普通代码中,你访问数组元素 vector[5],编译器会在运行时默默检查数组长度,防止越界崩溃。但如果你在写追求极致性能的音视频解码器,或者在写 Linux 内核驱动,这种运行时的边界检查(Bounds Check)积累起来会产生无法接受的开销。

此时,你可以调用 get_unchecked(5),它是一个 unsafe 函数,会直接跳过长度检查,直接去读内存。

// 只有在确定不越界的前提下,包裹在 unsafe 中以提升极致性能
unsafe {
    let value = my_vector.get_unchecked(5);
}

3. 用“安全的 API”封装“不安全”

Rust 的核心哲学是:你可以在底层用 unsafe 制造一个高效率的基础构件(比如 Vector 容器的底层实现就是基于原始指针分配和释放),但你必须用极致私有的字段和严密的公共 API,把它包裹成一个绝对安全的、暴露给外部用户使用的安全接口。

只要你的 API 设计无懈可击,外部调用者无论写出多么愚蠢的代码,也绝对无法突破这道安全的封装线。这就是为什么在企业后端开发中,你的业务代码中 unsafe 的使用率应当为 0%

民主化的工程奇迹:没有“独裁者”的团队是如何高效演进的?

不同于 Python 或 Linux 内核拥有创始人(如 Linus Torvalds)作为“终身仁慈独裁者(BDFL)”来进行终极仲裁,Rust 语言的治理是一个彻底去中心化的、基于共识和提案的民主体系。

这个体系主要由两个精妙的工程机制驱动:

1. 极其严苛的 RFC(Requests for Comments)模版

当你想给 Rust 增加一个稍微大一点的特性时,你必须提交一份 RFC 提案。这个提案的模版极其考验作者的工程思维,其中有两个非常天才的设计:

  • Guide-level explanation(引导级说明):你必须假设这个特性已经存在,写一段像新手教程一样的指南来介绍它。这逼迫提案者从用户体验和易用性的角度去审视特性,而不是一上来就堆砌底层实现细节。
  • Reference-level explanation(参考级说明):详细的技术规范,相当于语言参考手册的起草。
  • Alternatives & Prior Art(替代方案与先验艺术):你必须写清楚为什么不采用另外几种设计,以及 C++、Go 等其他语言在这一块是怎么做的。这能让你在被别人质问之前,先在文档里把所有漏洞堵死。

这种 RFC 流程类似于亚马逊(Amazon)推行的 PR/FAQ 撰写机制,它确保了每一项进入语言的特性,在写第一行编译器代码之前,就已经在逻辑和易用性上被推敲到了极致。

2. 解决破坏性更新的“版次(Edition)”机制

当一门语言发展到一定阶段,难免需要引入破坏性更新(Breaking Changes),比如增加新的关键字。Python 从 2 升级到 3 导致了整个生态长达数年的割裂,至今仍是社区的隐痛。

而 Rust 发明了 版次(Edition) 机制,完美解决了这一难题:

  • 编译器的包容性:不同 Edition 的包(Crates)可以在同一个项目中完美混用。
  • 无缝兼容:你的底层库可以用 2021 版次编写,而我的主业务可以用 2024 版次调用它,编译器在底层会把它们无缝融合成统一的二进制程序。
  • 语法平滑过渡:大版本更新(如引入 async/await 关键字)只在特定的 Edition 里生效,旧 Edition 的代码中依然可以安全地将 async 用作普通变量名。

这种精密的后向兼容机制,确保了 Rust 既能保持激进的技术进化,又绝对不会把老用户丢在半路上。

小结:从“写完代码再调试”到“在安全网中优雅降落”

在 Alice 的工程世界里,写 Rust 并不是在追求一种虚无的技术时尚,而是在实践一种将人的主观失误降到最低的现代工程学

Rust 并不是万能的,在 Web 前端等需要快速试错、频繁变更界面的场景中,它显然不如 TypeScript 轻量和灵活。但只要你的业务涉及到高并发的后端、高可用的微服务、极致性能的系统底层,或者不容许有任何安全漏洞的防御性工程,Rust 就是目前人类技术栈中最坚固的防线之一。

写 Rust 的过程,是一次编程习惯的洗礼:

你不再需要战战兢兢地把代码部署上线,然后盯着监控屏幕祈祷不要发生内存泄漏;你是在编译器的细心呵护下,将所有已知的安全隐患和逻辑死角在开发阶段一扫而空,然后在类型系统的安全网中,优雅、从容地平稳降落。

而这,正是“编译通过,即可运行”这句工程神话背后,最朴素也最震撼人心的底层逻辑。

资料链接:https://www.youtube.com/watch?v=q9xD36NCtZ8

还在为“复制粘贴喂AI”而烦恼?我的新专栏 AI原生开发工作流实战 将带你:

  • 告别低效,重塑开发范式
  • 驾驭AI Agent(Claude Code),实现工作流自动化
  • 从“AI使用者”进化为规范驱动开发的“工作流指挥家”

扫描下方二维码,开启你的AI原生开发之旅。

原「Gopher部落」已重装升级为「Go & AI 精进营」知识星球,快来加入星球,开启你的技术跃迁之旅吧!

我们致力于打造一个高品质的 Go 语言深度学习AI 应用探索 平台。在这里,你将获得:

  • 体系化 Go 核心进阶内容: 深入「Go原理课」、「Go进阶课」、「Go避坑课」等独家深度专栏,夯实你的 Go 内功。
  • 前沿 Go+AI 实战赋能: 紧跟时代步伐,学习「Go+AI应用实战」、「Agent开发实战课」、「Agentic软件工程课」、「Claude Code开发工作流实战课」、「OpenClaw实战分享」等,掌握 AI 时代新技能。
  • 星主 Tony Bai 亲自答疑: 遇到难题?星主第一时间为你深度解析,扫清学习障碍。
  • 高活跃 Gopher 交流圈: 与众多优秀 Gopher 分享心得、讨论技术,碰撞思想火花。
  • 独家资源与内容首发: 技术文章、课程更新、精选资源,第一时间触达。

衷心希望「Go & AI 精进营」能成为你学习、进步、交流的港湾。让我们在此相聚,享受技术精进的快乐!欢迎你的加入!

img{512x368}

商务合作方式:撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。如有需求,请扫描下方公众号二维码,与我私信联系。

© 2026, bigwhite. 版权所有.

Related posts:

  1. 从 Go 迁移到 Rust
  2. 数据打脸刻板印象:Go 的“样板代码”竟然和 Rust 一样多?
  3. 当“安全性”遭遇“交付速度”:2026 年,我为什么告别了 Rust
  4. Go vs. Rust vs. C++:从语言规范长度看三种不同的“复杂性”
  5. Rust 还没进前十,TIOBE 就开始唱衰了?