本文永久链接 – https://tonybai.com/2025/09/11/microsoft-is-getting-rusty

大家好，我是Tony Bai。

近日，微软 Azure CTO、技术巨擘 Mark Russinovich 在一场 Rust 技术会议上发表了闭幕演讲，以前所未有的坦诚和力度，揭示了微软内部正在进行的一场深刻的技术变革：全面拥抱 Rust，并战略性地替代 C/C++。

他不仅分享了 Rust 在 Windows 内核、Office、Azure 云等核心产品中的惊人实践案例，还首次披露了微软正在研发的、利用 AI 大模型自动将 C/C++ 代码转换为安全 Rust 的前沿工具。这既是一次技术分享，也是一份来自行业顶层的宣言。

在这篇文章中，我们就来看看微软在走向Rust的路上究竟做了哪些工作和改变，用户和社区的反馈又是如何。

战略驱动：为何微软必须转向 Rust？

演讲开篇，Mark Russinovich 就抛出了一个触目惊心的数据，这也是驱动微软进行这场变革的根本原因：

在过去十几年中，微软所有产品中 70% 的安全漏洞，均由 C/C++ 中的内存安全问题导致。

他直言，这种趋势仍在继续，这已不仅仅是技术债，更是持续不断的安全事件和威胁。正是基于此，他个人早已成为 Rust 的坚定拥护者，并分享了一段有趣的往事：2022年，他在看到编程语言排行榜后，有感而发地发布了一条推文——“是时候停止在任何新项目中使用 C/C++ 了，业界应该转向 Rust”。

这条推文成为了他有史以来互动量最高的内容，甚至引来了微软 CEO Satya Nadella 的电话询问。而他的回答坚定不移：“是的，我坚信如此。”

这并非一时冲动，而是一场席卷微软的、自下而上与自上而下相结合的运动。从美国国家安全局 (NSA) 呼吁业界放弃内存不安全的语言，到微软自身因不安全代码被攻击后发起的“安全未来倡议 (Secure Future Initiative)”，微软上下已经形成共识：必须摆脱不安全的语言。

实践版图：Rust 在微软核心产品中的落地生根

Mark Russinovich 随后详细介绍了 Rust 在微软内部的实践版图，其广度和深度令人瞩目。

Windows：从内核“阿喀琉斯之踵”开始

• Project Mu (UEFI 固件): 微软选择从安全性要求极高的系统引导固件入手，用 Rust 重写了 UEFI 实现（Project Mu）。该项目已应用于 Azure 数据中心和 Surface 笔记本，并已开源，旨在推动整个硬件生态采用 Rust。
• DirectWrite (核心图形组件): 团队选择了一个漏洞频发的独立组件——负责字体解析的 DirectWrite 进行移植。两名开发者耗时六个月，将 15.4 万行 C/C++ 代码移植为 Rust。结果不仅消除了安全隐患，还意外获得了 5% 到 15% 的性能提升。
• Win32k.sys (GDI 模块): 这是 Windows 安全的“阿喀琉斯之踵”，过去20年间漏洞不断。微软选择用 Rust 重写了其中的 GDI Regions 子系统。两名开发者耗时三个月，移植了 6.3 万行 代码进入内核态。尽管 C++/Rust 的互操作边界带来了巨大挑战，但项目最终成功，且没有性能衰退。如今，在 Windows 系统目录中，你甚至能找到带有 _rs 后缀的内核模块文件。

Office 与 Azure 云：性能与安全的双重胜利

• Office (DISKANN 向量搜索): Office 团队将一个前沿的向量搜索算法（DISKANN）从 C++ 移植到 Rust，用于 Office 365 和 Azure Cosmos DB。结果是惊人的：在实现同等 QPS 的情况下，召回率显著提升，内存占用反而下降。
• Azure (CTO 的铁腕): Mark Russinovich 透露，早在发布那条著名推文的两三年前，他就已在 Azure 内部颁布指令：“Azure 中不再有新的 C++ 系统代码”。这一指令推动了 Rust 在 Azure 基础架构中的全面应用：
  • 硬件层面: 云服务器的开源可信根项目 Caliptra、深入每台服务器的 Azure Integrated HSM 硬件安全模块，其固件均由 Rust 编写。
  • 硬件卸载卡: 负责网络和存储处理的智能网卡（DPU）上的新组件，已全部使用 Rust 开发，部分已有 C++ 组件也被迁移到了 Rust。
  • 虚拟化: Hyper-V 的 Arm64 模拟代码已用 Rust 重写；最近开源的 Open VMM（一个准虚拟化监视器）完全由 Rust 构建；而革命性的 Hyper-V Lite 项目，能以微秒级速度启动一个超轻量级虚拟机来运行 WASM 负载，其原型虽为 C#，但最终的开源实现完全是 Rust。
• Azure 服务:
  • Azure Data Explorer (ADX): 这个每天处理 PB 级数据的日志分析平台，其 V2 版本后完全用 35 万行 Rust 代码 重写，性能超越 C++ 版本，成为微软内部 Rust 实践的标杆案例。
  • Azure SDK for Rust: 顺应客户需求，Azure 官方已发布了 Rust SDK 的 Beta 版本，标志着 Rust 正式成为 Azure 的一等公民语言。

真实反馈：来自一线开发者的收获与挑战

这场变革并非一帆风顺。Mark Russinovich 坦诚地分享了一线开发者的真实反馈：

** 收获 (The Positives):**

• “如果它能编译，它就能工作”: 这是开发者们提到最多的一点，与 C++ 编译通过后仍充满不确定性的体验形成鲜明对比。
• 减少摩擦，专注创新: 消除了内存安全和数据竞争等底层心智负担。
• “两个月的转变”: 一个常见的模式是，C++ 开发者最初会对所有权和借用检查器感到痛苦，但大约两个月后，他们会转变为 Rust 的忠实拥护者。

** 挑战 (The Negatives):**

• C++ 互操作性是第一大难题: 在逐步替换大型 C++ 项目时，处理两种语言的边界问题耗费了大量精力。
• 工具链仍有待成熟。
• Crate 生态系统: 开发者不确定应该使用和信任哪些第三方库。
• 部分依赖的特性尚未稳定。
• 动态链接: 在 Windows 生态中常见的动态链接，与 Rust 的结合存在问题。

尽管存在这些挑战，但 Mark Russinovich 强调，优点已经足够让微软“全身心投入 (all in)”。

展望未来：用 AI 加速 “去 C++” 进程

演讲的最后，Mark Russinovich 揭示了微软正在探索的、旨在加速 Rust 迁移的“终极武器”——自动化代码翻译。

微软正在从两个方向推进这项工作：

1. 专用转译器 (Transpiler): 针对特定领域，如经过形式化验证的加密库。微软研究团队已开发出一个工具，能将严格遵循特定规范的 C 代码自动、安全地转译为 100% safe 的 Rust 代码，并确保其数学验证在转译后依然有效。
2. 通用 AI 翻译器 (GenAI + GraphRAG): 这是更宏伟的目标。传统的 LLM 在处理多文件、复杂的 C++ 项目时效果不佳。微软正在利用一种名为 GraphRAG (图检索增强生成) 的先进技术。该技术能将代码解析为抽象语法树，并构建一个多层次的、包含代码摘要和依赖关系的图谱。当进行翻译时，AI 可以基于这个图谱进行更精准、更具上下文感知的代码生成。

他现场演示了一个将多文件 Python 小游戏翻译为 Rust 的例子。普通的 GPT-4o 生成的代码无法编译，而 GraphRAG 驱动的翻译器则一次性生成了可完美运行的、100% safe 的 Rust 代码。

总结：一场自上而下的语言革命

Mark Russinovich 的演讲，标志着 Rust 在主流工业界的应用进入了一个全新的阶段。微软的实践雄辩地证明，用 Rust 替代 C/C++ 不仅是为了安全，更能带来意想不到的性能收益和开发体验提升。

更重要的是，微软的承诺是全方位的：从内部产品的深度重构，到对社区的资金支持，再到投入研发力量攻克 C++ 互操作和自动化迁移这两大核心难题。

正如 Mark 所言，一门语言的成熟需要超过十年的时间。Rust 已经走到了这个节点，其生态和工具链的成熟度已经达到了一个临界点，使得像微软这样的巨头可以放心下注。对于任何想要挑战 Rust 地位的新语言来说，都将面临一座极难逾越的高山。

微软的“All in”，不仅是对 Rust 过去的肯定，更是对未来的巨大投资。这无疑为整个软件行业指明了一个更安全、更高效的方向。

你的Go技能，是否也卡在了“熟练”到“精通”的瓶颈期？

• 想写出更地道、更健壮的Go代码，却总在细节上踩坑？
• 渴望提升软件设计能力，驾驭复杂Go项目却缺乏章法？
• 想打造生产级的Go服务，却在工程化实践中屡屡受挫？

继《Go语言第一课》后，我的《Go语言进阶课》终于在极客时间与大家见面了！

我的全新极客时间专栏 《Tony Bai·Go语言进阶课》就是为这样的你量身打造！30+讲硬核内容，带你夯实语法认知，提升设计思维，锻造工程实践能力，更有实战项目串讲。

目标只有一个：助你完成从“Go熟练工”到“Go专家”的蜕变！ 现在就加入，让你的Go技能再上一个新台阶！

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。如有需求，请扫描下方公众号二维码，与我私信联系。

本文永久链接 – https://tonybai.com/2025/09/11/gophercon-2025-contributor-summit-notes

大家好，我是Tony Bai。

GopherCon 2025 贡献者峰会刚刚落下帷幕。在这场Go核心团队与全球顶尖贡献者齐聚一堂的闭门会议中，Go语言的未来方向被激烈地讨论和塑造。这些讨论或许不像发布泛型那样惊天动地，但它们如同地壳深处的板块运动，深刻地影响着Go生态的未来走向——一个更加成熟、务实，并决心直面企业级开发真实痛点的Go正在到来。

在这篇文章中，我深入研读了这份信息密度极高的会议纪要，为你提炼并解读了其中与每位Gopher息息相关的四大核心动向，希望可以帮助大家了解Go语言的下一步进化方向。

动向一：依赖管理的“中年危机”与应对之道

“你是否也曾被Kubernetes的依赖搞得焦头烂额？”

随着Go在大型项目中的广泛应用，曾经被引以为傲的Go Modules也开始面临“中年危机”。依赖管理，尤其是处理大型、复杂项目中的破坏性变更，已从社区的零星抱怨，正式升级为贡献者峰会的核心议题。

痛点：当生态系统足够庞大

会议中，来自Kubernetes等大型项目的贡献者明确指出，他们在升级Go版本和依赖时正经历巨大痛苦。例如，zap等核心日志库最近的仓库迁移引发了棘手的“菱形依赖”问题；而golang.org/x系列库为了快速跟进Go的最新特性，频繁提升其要求的Go版本，也给下游项目带来了巨大的维护压力和“升级多米诺”效应。

这些问题标志着Go生态已经进入了一个新的阶段：简单的go get -u已不足以应对庞大、交错的依赖网络。

探索的解决方案

Go团队和社区贡献者正从多个维度探索解决方案，虽然没有银弹，但方向已逐渐清晰：

1. 更智能的弃用警告：目前，在代码中添加// Deprecated:注释来标记弃用API的方式有些“脆弱”，如果格式稍有不慎（例如没有另起一段），工具就无法识别。未来可能会通过go vet检查来强制执行正确的格式，或者放宽解析规则，确保弃用信息能被稳定传达。
2. go.mod元数据增强：一个极具前瞻性的讨论是，是否可以在go.mod文件中加入“路径转发”元数据。这样，当一个模块的导入路径发生变更时（如从github.com/org/repo迁移到github.com/new-org/repo），旧的go.mod文件可以明确指示工具去新的地址寻找，从而以一种声明式的方式解决仓库迁移带来的依赖中断问题。
3. 推广强兼容性保证：社区呼吁更多核心库能像k8s.io/utils一样，提供明确且严格的向后兼容性保证。一个激进但有趣的想法是，如果企业开始资助这些开源项目，并将“不破坏兼容性”作为资助的条件之一，或许能形成一种更强有力的约束。

解读：Go生态正从“野蛮生长”的青春期，步入需要精细化治理的成熟期。Go团队正严肃对待这些大型项目遇到的真实痛点，未来的工具链和最佳实践，将更加关注稳定性和可预测性，而非仅仅是功能的增加。

动向二：crypto/tls迎来“配置文件”时代，告别选择困难

Go标准库的crypto/tls包功能强大，但其约15个核心配置选项（密码套件、TLS版本、椭圆曲线等）的组合，对于非密码学专家来说，无疑是一个巨大的心智负担。如何配置出一个既安全又具备良好兼容性的TLS客户端或服务器，一直是一个难题。

峰会上的讨论，为这个问题带来了一个“大道至简”的解决方案：引入TLS Profiles（配置文件）。

“陈述你的目标，而非你的手段”

这个想法的核心，是改变配置TLS的思维模式。开发者未来可能不再需要去手动挑选每一个密码学参数，而是向标准库“陈述你的目标”。

• 什么是TLS Profile？ 它是一套预先定义好的、经过专家审核的配置集合。例如，可能会有：

  • ModernProfile: 提供最高级别的安全性，可能只支持TLS 1.3和最新的加密算法。
  • CompatibleProfile: 在保证安全性的前提下，兼顾对一些老旧客户端的兼容。
  • FIPS140Profile: 严格遵循美国联邦信息处理标准140，适用于政府和金融等高合规性场景。
  • CNSA2.0Profile: 遵循美国国安局的下一代加密标准。

• 如何使用？ 开发者只需在tls.Config中设置一个字段，如Profile: tls.ModernProfile。标准库会根据这个Profile，自动为你配置好所有底层的密码学细节。

• 动态演进：这些Profiles将是“活”的。随着Go版本的更新，ModernProfile可能会自动引入更安全的算法，并淘汰那些已被发现存在漏洞的旧算法。这意味着，你的应用安全级别可以随着Go的升级而自动提升。

解读：这是Go“约定优于配置”和“让正确的事情变得容易”哲学的又一次精彩体现。通过将复杂的安全决策封装成几个简单的高级选项，Go极大地降低了开发者犯错的概率，将安全变成了默认选项。这对于整个互联网的安全都是一件好事。

动向三：项目治理进化，提案流程走向透明与协作

随着Go社区的日益壮大，原有的语言变更提案流程（Proposal Process）正面临巨大的压力。许多社区成员反映，提案提交后如同石沉大海，其审阅状态不透明，处理周期漫长，这极大地挫伤了社区的贡献热情。

峰会上，Go团队坦诚地面对了这一治理瓶颈，并提出了一系列改革思路，旨在让Go的治理模式更加透明、高效和可扩展。

• 队列透明化：Go团队正在探索如何让积压了数百个提案的队列状态更加公开透明，让贡献者能知道自己的提案处于哪个阶段。
• 任务小组/委员会制度：对于像jsonv2、collections这样重大而复杂的提案，Go团队正在试验性地建立专门的“任务小组”（Task Forces）。这些小组由对此领域感兴趣的核心成员和社区专家组成，进行更专注、更高效的讨论和决策。
• 快速拒绝机制：一个有趣的提议是，建立一个能快速对不合适的提案说“不”的委员会。这能避免社区和团队在那些明显不可行或不符合Go哲学的提案上浪费过多精力，同时也能为提案者提供更及时的反馈。

解读：Go项目正在从类似Guido van Rossum时代的“仁慈的独裁者”模式，向一个更具扩展性的“联邦制”治理模式演进。通过“权力下放”给各个领域的专家小组，Go能够在保持核心哲学稳定的同时，更快地响应社区的需求，吸纳更多社区的智慧。这是一个开源项目走向成熟的必经之路。

动向四：开发者体验的持续打磨——CI、IDE与性能工具

开发者体验永远是Go的生命线。峰会同样花大量时间讨论了开发者在日常工作中遇到的各种“小摩擦”。

• CI/CD：Go官方自己的持续集成（CI）测试正变得越来越慢（一年内从15分钟增加到20分钟）。团队正在从多个方面着手解决，包括优化race构建器的性能、改进测试分片（sharding）逻辑等，目标是让核心CI的运行时间回归到5分钟的目标。
• IDE (VS Code/gopls)：gopls作为Go语言服务的事实标准，其在复杂项目中的表现备受关注。团队承认并正在着力解决gopls在大型monorepo和多go.work文件场景下的体验不一致、错误信息模糊等问题。
• 性能分析工具：go tool trace是分析并发和延迟问题的利器，但在处理大规模追踪数据时，其前端可视化和后端处理能力都已达到瓶颈。团队正在积极探索全新的、性能更好的可视化方案（可能参考Mozilla的Firefox Profiler），并考虑提供更强大的“g-centric view”（以goroutine为中心的视图），帮助开发者从海量数据中快速定位问题。

解读：这些看似琐碎的改进，恰恰体现了Go团队对开发者日常工作流的深刻理解和尊重。从CI的几分钟提速，到IDE的一个精准错误提示，再到性能工具的一次流畅缩放，这些细节的累加，共同构成了Go那令人称道的、顺滑的开发体验。

小结：一个更加成熟、更值得信赖的Go

GopherCon 2025贡献者峰会没有发布颠覆性的新语法或“明星功能”。相反，它向我们展示了一个正在完成关键蜕变的Go生态：
- 它更关注稳定性，而非激进的语言变更。
- 它更倾听企业级用户在复杂场景下的真实痛点，并愿意为此改进核心基础设施。
- 它更致力于简化复杂性，尤其是在安全这种不容有失的领域。
- 它更开放、更系统地思考项目自身的治理和进化，以拥抱一个更大、更多元化的社区。

Go 1.25以及未来的版本，可能不会带来太多让我们在社交媒体上惊呼的“新玩具”，但它会带来更多让我们在深夜的生产环境中能安然入睡的“压舱石”。这，或许是一个顶级编程语言生态系统走向真正成熟的标志。

你的Go技能，是否也卡在了“熟练”到“精通”的瓶颈期？

• 想写出更地道、更健壮的Go代码，却总在细节上踩坑？
• 渴望提升软件设计能力，驾驭复杂Go项目却缺乏章法？
• 想打造生产级的Go服务，却在工程化实践中屡屡受挫？

继《Go语言第一课》后，我的《Go语言进阶课》终于在极客时间与大家见面了！

我的全新极客时间专栏 《Tony Bai·Go语言进阶课》就是为这样的你量身打造！30+讲硬核内容，带你夯实语法认知，提升设计思维，锻造工程实践能力，更有实战项目串讲。

目标只有一个：助你完成从“Go熟练工”到“Go专家”的蜕变！ 现在就加入，让你的Go技能再上一个新台阶！

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。如有需求，请扫描下方公众号二维码，与我私信联系。