Go - Tony Bai

标签 Go 下的文章

当“安全性”遭遇“交付速度”：2026 年，我为什么告别了 Rust

二月 21, 2026
0 条评论

本文永久链接 – https://tonybai.com/2026/02/21/safety-vs-delivery-speed-why-farewell-rust-in-2026

大家好，我是Tony Bai。

在软件工程的铁三角中，Rust 占据了“安全性”与“性能”的绝对高地。凭借借用检查器（Borrow Checker）和极其严格的类型系统，它向开发者承诺了一个没有内存错误、没有空指针崩溃的完美世界。

然而，在商业软件开发的战场上，还有一个至关重要的维度往往被技术纯粹主义者忽视，那就是——交付速度（Delivery Speed）。

近日，资深工程师 Dmitry Kudryavtsev 发表了长文《Farewell, Rust》，详述了他为何忍痛将一个运行了多年、已盈利的 Rust 项目全盘重写为 Node.js 的心路历程。这篇文章也引发了一场关于“为了极致的安全性，我们是否值得牺牲过多的交付速度？”的深刻辩论。

缘起：一个 C/C++ 老兵的“安全梦”

Dmitry 绝非那些被即时编译（JIT）宠坏的脚本小子。相反，他的技术底色是硬核的 C/C++。

早在高中时代，他就沉迷于指针的魔力，痴迷于手动管理内存的掌控感。他写过 3D 渲染器、IRC 机器人，甚至操作系统内核。然而，由于第一份工作是 PHP Web 开发，他被迫进入了动态语言的世界。虽然 PHP、Python 和 Ruby 带来了 Web 开发的极速体验，但在内心深处，他始终怀念 C 语言那种“压榨硬件每一滴性能”的快感，同时也痛恨 C 语言中防不胜防的内存安全漏洞。

直到 Rust 横空出世。

对于像 Dmitry 这样的工程师来说，Rust 简直就是“鱼与熊掌兼得”的梦想：

低级控制力：像 C 一样精确控制内存布局。
安全性：编译器在编译阶段就能消除一整类内存错误。
现代体验：拥有像 Cargo 这样优秀的包管理工具。

于是，他做了一个所有热血工程师都会做的决定：为了追求极致的质量与安全，用 Rust 从零构建一个商业 Web 应用。

起初，一切都很完美。他在 2023 年底成功上线了项目，甚至因此受邀在两个技术大会上发表演讲。但随着时间的推移，业务逻辑日益复杂，“安全性”的红利开始被“交付速度”的损耗所抵消。到了 2026 年初，为了项目的生存，他不得不做出了那个艰难的决定：告别 Rust。

深度复盘：Rust 在 Web 交付中的“五大减速带”

Dmitry 的文章之所以珍贵，是因为他用亲身经历证明了：在 Web 开发的特定场景下，Rust 引以为傲的“安全性”机制，如何一步步变成了拖慢“交付速度”的罪魁祸首。

1. 模板与视图：类型安全 vs. 迭代速度

在后端逻辑中，Rust 的类型系统坚不可摧。但当数据流向前端（HTML/Email 模板）时，这种为了安全而设计的严格性，变成了修改 UI 时的噩梦。

安全性的代价：为了保证编译时的类型安全，Rust 社区诞生了 Maud 或 Askama 这样的编译时模板库。它们通过宏（Macro）在编译期检查 HTML 模板中的每一个变量引用。这听起来很棒，意味着你永远不会渲染出错误的变量。
速度的牺牲：但这带来的副作用是，每次修改 HTML 哪怕一个标点符号，都会触发漫长的重新编译。在 Web 前端开发这种需要“所见即所得”的高频迭代场景下，这种等待是毁灭性的。
对比 Node.js：TypeScript 配合 JSX/TSX 提供了全链路的类型安全，同时保持了极快的热重载（Hot Reload）速度。重构一个字段，VS Code 会立即标红所有受影响的视图组件，修改后毫秒级生效。这种“安全且快”的体验，是 Rust 目前无法提供的。

2. 国际化（i18n）：生态缺失带来的效率黑洞

对于商业应用，支持多语言是刚需。

虽然 Mozilla 开发了 Project Fluent，但 Rust 生态中缺乏成熟的、开箱即用的 i18n 解决方案。你往往需要为了“正确性”而去处理繁琐的加载逻辑和类型绑定，编写大量的胶水代码。而Node.js生态中的i18next 等库不仅极其成熟，还能配合 TypeScript 提供键值级别的类型安全。Node.js 原生内置了完整的 ICU 标准（Intl API），处理货币、日期、复数格式化信手拈来。在这一点上，Rust 开发者需要花费数倍的时间来实现同样的功能，严重拖慢了产品推向全球市场的速度。

3. “动态”业务 vs. “静态”约束

Web 业务充满了动态性：用户提交的 JSON 结构可能是不确定的，筛选条件的组合可能是无穷的。Rust 试图用静态类型系统去约束这些动态行为，结果就是开发效率的暴跌。

序列化之痛：serde 是 Rust 的瑰宝，但在处理复杂的、充满 Option 的业务数据时，为了安全地取出一个嵌套字段，你不得不编写大量的 match 或 unwrap 处理代码。为了优雅地处理错误，Dmitry 定义了十几个自定义错误枚举。虽然代码很健壮，但写起来太慢了。
SQL 的僵局：sqlx 提供了极其强大的编译时 SQL 检查，这在静态查询时非常棒。但是，一旦你需要根据用户输入动态构建查询（例如：用户选了 A 筛选条件就加个 WHERE 子句），Rust 的强类型系统就变成了噩梦。你无法像在 Node.js 中使用 Kysely 或 Prisma 那样，流畅地拼接查询片段。为了“安全”地构建 SQL，你付出了巨大的代码复杂度成本。

4. 编译时间：CI/CD 的隐形杀手

这是最让 Dmitry 崩溃的一点，也是“交付速度”最直观的体现。

Rust 的等待：随着依赖增多（尤其是使用了大量宏的 Web 框架），编译时间呈指数级增长。Dmitry 的 CI 流程需要 12-14 分钟才能完成部署。“每次我在 Sentry 上看到一个简单的 Bug，想到修复它需要等待 15 分钟的构建流程，我就失去了修复的动力。”
Node.js 的极速：迁移到Node.js后，完整的 CI 流程（含 Lint 和测试）仅需 5 分钟。部署速度提升了 3 倍。这意味着“发现 Bug -> 修复 -> 上线”的反馈闭环被大大缩短了。在商业竞争中，修复速度往往比绝对的“无 Bug”更重要。

5. 生态成熟度：造轮子的时间成本

Rust 的 Web 生态虽然在成长，但面对长尾需求时仍显稚嫩。

场景：你需要集成一个冷门的第三方支付网关，或者处理一个特定的 Webhook 签名验证。
Rust 的困境：官方 SDK？没有。社区库？两年前就不更新了。为了安全，你不得不对着 API 文档，自己手写 HTTP 请求、自己实现加密验签逻辑。这占用了大量本该用于开发业务核心功能的时间。
Node.js 的便利：npm install 通常能解决一切。几乎所有 SaaS 服务商都会提供第一方的 Node.js SDK。“拿来主义”是提升交付速度的最佳捷径。

总结与反思：我们到底为了什么而编程？

Dmitry 的文章并没有否定 Rust 的价值。相反，他依然热爱 Rust，依然怀念那些与编译器“斗智斗勇”并最终获得完美代码的日子。

他的结论非常客观，为所有正在做技术选型的团队提供了一把衡量“安全”与“速度”的标尺：

资源占用 vs. 开发效率的账本
Rust 版本的应用内存占用仅 60-80MB，而 Node.js 版本约为 117MB。
Rust 确实更省资源。但对于业务应用来说，这 50MB 的内存差异，在云服务器几美元一个月的成本面前不值一提。然而，为了节省这 50MB 内存，开发者付出了几倍的开发时间、调试精力以及心智负担。这笔账，在商业逻辑上是划不来的。
技术选型的“黄金法则”
- 何时拥抱“安全性”（选 Rust）：如果你在构建数据库内核、搜索引擎、高频交易系统、嵌入式设备固件，或者像 Lambda 这样对冷启动时间极度敏感的 Serverless 函数。在这些场景下，性能和稳定性是核心竞争力，为了安全牺牲开发速度是值得的。
- 何时拥抱“交付速度”（选 Node.js/Go/Python）：如果你在构建 CRUD 后端、SaaS 业务逻辑、内部管理工具，或者处于需要快速试错、频繁变更需求的初创阶段。在这些场景下，迭代速度（Velocity）才是核心竞争力。
给 Go 开发者的启示
有趣的是，Dmitry 在注脚中提到了 Go：“Yes, there is Go. But I never really had the chance to like Go.”
这其实是一个非常有意思的信号。在 Rust 的“极致安全”和 Node.js 的“极致速度”之间，Go 恰恰占据了那个“黄金平衡点”：
- 它有静态编译和类型系统，比 Node.js 更安全、性能更好。
- 它有极快的编译速度和简单的语法，比 Rust 的心智负担低得多。
- 它有极其成熟的中间件和微服务生态。
对于那些厌倦了 Node.js 运行时错误，又被 Rust 借用检查器拖慢脚步的 Web 开发者来说，Go 依然是当下最务实的选择。

小结

技术选型从来没有绝对的优劣，只有“最适合当下约束条件的工具”。

Dmitry 的故事提醒我们：不要因为手里拿着“安全性”这把锤子（Rust），就无视了“交付速度”这个钉子。在商业软件的世界里，有时候，为了让产品活下去，为了让用户更快用上新功能，“足够好”且“跑得快”的代码，往往比“完美但迟到”的代码更有价值。

Rust 是系统编程的未来，但这并不意味着它是所有 Web 业务的终点。对于独立开发者或初创团队而言，“快”，本身就是一种极其重要的功能。

资料链接：https://yieldcode.blog/post/farewell-rust/

你会为了“安全”放弃“速度”吗？

软件工程永远是权衡的艺术。在你的项目中，你是否也曾为了追求某种“先进特性”，而导致项目进度失控？如果给你 50MB 的内存节省，你愿意多等 10 分钟的编译时间吗？

欢迎在评论区分享你的选型纠结！

还在为“复制粘贴喂AI”而烦恼？我的新专栏 《AI原生开发工作流实战》 将带你：

告别低效，重塑开发范式
驾驭AI Agent(Claude Code)，实现工作流自动化
从“AI使用者”进化为规范驱动开发的“工作流指挥家”

扫描下方二维码，开启你的AI原生开发之旅。

你的Go技能，是否也卡在了“熟练”到“精通”的瓶颈期？

想写出更地道、更健壮的Go代码，却总在细节上踩坑？
渴望提升软件设计能力，驾驭复杂Go项目却缺乏章法？
想打造生产级的Go服务，却在工程化实践中屡屡受挫？

继《Go语言第一课》后，我的《Go语言进阶课》终于在极客时间与大家见面了！

我的全新极客时间专栏《Tony Bai·Go语言进阶课》就是为这样的你量身打造！30+讲硬核内容，带你夯实语法认知，提升设计思维，锻造工程实践能力，更有实战项目串讲。

目标只有一个：助你完成从“Go熟练工”到“Go专家”的蜕变！现在就加入，让你的Go技能再上一个新台阶！

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。如有需求，请扫描下方公众号二维码，与我私信联系。

别再轻信 GitHub 上的源码：为何我们需要全新的 Go 模块审查机制？

二月 20, 2026
0 条评论

本文永久链接 – https://tonybai.com/2026/02/20/why-we-need-new-go-module-review-mechanism

大家好，我是Tony Bai。

你以为你在 GitHub 上看到的代码，就是你的 Go 程序编译时使用的代码吗？答案可能令你背脊发凉。

在 Go 语言的生态系统中，我们一直引以为傲的是其卓越的包管理和安全性。Go Checksum Database（校验和数据库）被公认为现代编程语言中最强大的完整性保障机制之一。然而，前 Go 安全团队负责人、著名的密码学家 Filippo Valsorda 在最近的一篇文章中揭示了一个令人不安的真相：虽然 Go 的工具链是安全的，但我们人类审查代码的方式却存在巨大的安全漏洞。

本文将深入探讨这一安全隐患的成因，剖析著名的“虚假 BoltDB”攻击案例，并介绍 Filippo 及其团队 Geomys 推出的解决方案——pkg.geomys.dev，一个致力于填补这一信任缺口的源码查看服务。

Go 的安全基石：坚不可摧的 SumDB

在深入探讨漏洞之前，我们有必要先回顾一下 Go 语言为何被誉为拥有“无可争议的最佳包完整性故事”。这主要归功于 Go Checksum Database (SumDB)。

Go 模块的获取本质上是去中心化的。你可以直接从 GitHub、GitLab 或任何 Git 托管服务上拉取代码。例如，当你运行 go get github.com/example/mod@v1.2.3 时，Go 工具链（在 GOPROXY=direct 模式下）会直接克隆对应的 Git 仓库并检出 v1.2.3 标签。

这种去中心化虽然灵活，但带来了巨大的安全风险：如果代码托管方（如 GitHub）被入侵，或者作者遭受胁迫修改了代码，亦或是作者恶意 Force-push（强制推送）覆盖了标签，下游用户该如何察觉？

SumDB 应运而生。它的工作原理如下：

首次记录：当某个模块版本第一次被 Go 生态系统中的任何人请求时，Go 代理（Proxy）会下载该模块，计算其内容的加密哈希值，并将其永久记录在 SumDB 中。
永久锁定：SumDB 是一个透明日志（Transparency Log），类似于区块链的 Merkle Tree 结构。这意味着记录一旦写入，就无法被篡改或删除（即使是 Google 也做不到）。
全网一致：此后，世界上任何一台机器下载该版本的模块时，Go 工具链都会计算本地下载内容的哈希，并与 SumDB 中的记录比对。如果 GitHub 上的标签被篡改导致哈希不匹配，构建将直接失败。

这种机制比传统的 PGP 签名或作者管理私钥要实用得多，同时提供了极高的安全性保障。

信任链的断裂：人类的“弱点”

既然 SumDB 如此完美，漏洞从何而来？

Filippo 指出，漏洞不在于机器，而在于人。

每当我们直接在代码托管平台（如 GitHub）上阅读代码时，我们就引入了一个薄弱环节。

Go 工具链验证的是下载到本地缓存中的 ZIP 包的哈希值。而我们在浏览器中打开 https://github.com/example/mod/blob/v1.2.3/exp.go 时，看到的是 GitHub 当前展示的 v1.2.3 标签对应的内容。

关键问题在于：Git 标签是可变的（Mutable）。GitHub 允许维护者强制推送标签。一个恶意的维护者（或攻击者）可以这样做：

发布一个包含恶意代码的 v1.2.3 版本。
诱导受害者（或通过自动化的 Go Proxy）下载该版本，使其恶意哈希被记录在 SumDB 中。
立即 Force-push 一个“干净”的 v1.2.3 版本覆盖原标签。
当安全研究员或用户去 GitHub 审查代码时，他们看到的是干净的代码，认为一切正常。
但受害者的 go.sum 中已经锁定了那个恶意的哈希，他们的构建使用的是恶意代码。

这种“狸猫换太子”的攻击方式，利用了 Web 界面（GitHub）与构建工具（Go Toolchain）之间的数据源不一致。

真实案例回顾：虚假 BoltDB 投毒事件

这并非理论上的恐慌，而是已经发生的现实。

去年，Go 生态系统遭受了一次经典的域名抢注（Typosquatting）攻击。攻击者发布了一个名为“BoltDB”的虚假模块（利用了大小写或相似名称的混淆）。为了掩人耳目，攻击者利用了上述机制：

恶意代码被发布并被 Go Proxy 缓存。
随后，攻击者向 GitHub 强制推送了无害的代码。
当社区发现有可疑模块并试图去 GitHub 审查时，看到的只有人畜无害的代码逻辑。

当时，一些评论员错误地将此归咎于 Go Module Mirror 的缓存机制。但 Filippo 一针见血地指出：这本质上是利用了 GitHub Web 界面天然缺乏验证机制的漏洞。GitHub 展示的代码，并不是 Go 工具链正在使用的、经过 SumDB 验证的“真实”代码。

如何正确地审查 Go 模块？

既然 GitHub 不可信，作为开发者，我们该如何确保自己在审查“正确”的代码？

方案 A：本地硬核审查（CLI）

最安全的方法是将 Go 工具链实际使用的代码下载到本地进行审查。Filippo 给出了一个基于命令行的解决方案：

cd $(go mod download -json filippo.io/age@v1.3.1 | jq -r .Dir)

这条命令做了三件事：

go mod download：通过 Go 代理下载指定版本的模块，并自动进行 SumDB 校验。
-json：输出模块的元数据，包括其在本地缓存中的解压路径。
cd：直接进入该目录。

在这个目录中看到的代码，才是绝对真实、不可抵赖的代码。此外，Go 团队也正在开发 go mod verify -tag 命令（预计将在Go 1.27版本落地），用于验证本地 Git 仓库的内容是否与 SumDB 匹配，这将进一步简化本地审查流程。

方案 B：全新的在线审查工具——pkg.geomys.dev

虽然本地审查最安全，但不得不承认，在浏览器中点击 pkg.go.dev 的链接查看源码实在是太方便了。为了在“便利性”和“安全性”之间取得平衡，Filippo Valsorda 开发了一个全新的服务：pkg.geomys.dev。

这是一个类似于 go-mod-viewer 的源码查看器，但它在设计上完全针对安全性与现代体验进行了优化。它的核心价值在于：展示经 Go Proxy 和 SumDB 确认的、真实的 ZIP 包内容，而非 GitHub 上的 Git 仓库内容。

其核心特性包括：

真实源头：它不克隆 Git 仓库，而是直接处理 Go 模块的 ZIP 归档文件。这确保了你看到的代码与 go get 下载的代码完全一致。
优秀的阅读体验：支持语法高亮、行/多行链接、多种字体选择、自动暗色模式，以及完整的文件树和版本浏览器。
浏览器插件支持：Filippo 提供了 Chrome 和 Firefox 插件。安装后，当你在官方的 pkg.go.dev 上点击源码链接时，它会自动将原本指向 GitHub 的链接重定向到 pkg.geomys.dev，实现无缝的安全升级。

它是如何工作的呢？

这个服务的实现非常精妙，充分利用了现代 Web 技术：

HTTP Range 请求：它不需要下载整个模块的 ZIP 包。通过 HTTP Range 请求，它只获取 ZIP 文件的目录结构和特定文件的压缩数据。
浏览器端解压：解压缩过程直接在用户的浏览器中完成。这不仅减轻了服务器压力，也提高了响应速度。
未来的去中心化：目前的版本信任 Google 的 Module Proxy 提供的 ZIP 文件。Filippo 计划在未来（待 proxy.golang.org 修复 CORS 配置后）引入透明日志证明检查。届时，浏览器将能独立计算目录哈希（Dirhash），并与 SumDB 进行比对，甚至通过第三方八卦协议（Gossip）验证 SumDB 的一致性，从而实现真正的“零信任”安全查看。

对 Go 生态系统的启示

Filippo 的这项工作（以及背后的 Geomys 组织）不仅仅是造了一个轮子，它向整个软件供应链安全领域提出了一个严肃的问题：我们所依赖的基础设施，是否能够支撑“代码即法律”的信任？

长期以来，我们将 GitHub 视为代码的“真理之源”。但在现代包管理机制下，真理之源已经转移到了不可篡改的构件（Artifacts）和透明日志上。Go 语言通过 SumDB 先行一步，而工具链的配套设施（如 IDE、代码浏览器）也必须跟上这一步伐。

此外，Geomys 组织的运作模式也值得关注。它是由 Ava Labs、Teleport、Tailscale 和 Sentry 等知名科技公司资助的专业维护者组织。这种通过商业公司联合资助关键开源基础设施维护者的模式，或许是解决开源可持续性问题的一条新出路。

小结：与行动建议

作为一名负责任的 Go 开发者，我们应当意识到“便利”背后的代价。为了防止下一个“虚假 BoltDB”事件发生在你的项目中，我们建议：

改变习惯：在进行安全性要求较高的代码审查（Security Review）时，不要盲目信任 GitHub 的 Web 界面。
尝试新工具：安装 pkg.geomys.dev 的浏览器插件，将你的默认源码查看器切换到更安全的模式。这不仅是为了安全，也是为了获得比 GitHub 更纯粹的阅读体验。
理解机制：深入理解 go.sum 和 SumDB 的工作原理。它们不是为了给 Git 仓库做备份，而是为了构建一个独立于代码托管商之外的信任锚点。

安全，往往隐藏在这些看似微不足道的细节之中。

参考链接：

你会怎么审代码？

习惯了在网页上“指点江山”的我们，可能都忽略了 ZIP 归档才是唯一的真理。在你的开发流程中，是否也曾遇到过 GitHub 源码与本地代码不一致的“灵异事件”？你会为了安全而安装那个将链接重定向到 pkg.geomys.dev 的插件吗？

欢迎在评论区分享你的安全观！

还在为“复制粘贴喂AI”而烦恼？我的新专栏 《AI原生开发工作流实战》 将带你：