本文永久链接 – https://tonybai.com/2025/09/11/microsoft-is-getting-rusty

大家好，我是Tony Bai。

近日，微软 Azure CTO、技术巨擘 Mark Russinovich 在一场 Rust 技术会议上发表了闭幕演讲，以前所未有的坦诚和力度，揭示了微软内部正在进行的一场深刻的技术变革：全面拥抱 Rust，并战略性地替代 C/C++。

他不仅分享了 Rust 在 Windows 内核、Office、Azure 云等核心产品中的惊人实践案例，还首次披露了微软正在研发的、利用 AI 大模型自动将 C/C++ 代码转换为安全 Rust 的前沿工具。这既是一次技术分享，也是一份来自行业顶层的宣言。

在这篇文章中，我们就来看看微软在走向Rust的路上究竟做了哪些工作和改变，用户和社区的反馈又是如何。

战略驱动：为何微软必须转向 Rust？

演讲开篇，Mark Russinovich 就抛出了一个触目惊心的数据，这也是驱动微软进行这场变革的根本原因：

在过去十几年中，微软所有产品中 70% 的安全漏洞，均由 C/C++ 中的内存安全问题导致。

他直言，这种趋势仍在继续，这已不仅仅是技术债，更是持续不断的安全事件和威胁。正是基于此，他个人早已成为 Rust 的坚定拥护者，并分享了一段有趣的往事：2022年，他在看到编程语言排行榜后，有感而发地发布了一条推文——“是时候停止在任何新项目中使用 C/C++ 了，业界应该转向 Rust”。

这条推文成为了他有史以来互动量最高的内容，甚至引来了微软 CEO Satya Nadella 的电话询问。而他的回答坚定不移：“是的，我坚信如此。”

这并非一时冲动，而是一场席卷微软的、自下而上与自上而下相结合的运动。从美国国家安全局 (NSA) 呼吁业界放弃内存不安全的语言，到微软自身因不安全代码被攻击后发起的“安全未来倡议 (Secure Future Initiative)”，微软上下已经形成共识：必须摆脱不安全的语言。

实践版图：Rust 在微软核心产品中的落地生根

Mark Russinovich 随后详细介绍了 Rust 在微软内部的实践版图，其广度和深度令人瞩目。

Windows：从内核“阿喀琉斯之踵”开始

• Project Mu (UEFI 固件): 微软选择从安全性要求极高的系统引导固件入手，用 Rust 重写了 UEFI 实现（Project Mu）。该项目已应用于 Azure 数据中心和 Surface 笔记本，并已开源，旨在推动整个硬件生态采用 Rust。
• DirectWrite (核心图形组件): 团队选择了一个漏洞频发的独立组件——负责字体解析的 DirectWrite 进行移植。两名开发者耗时六个月，将 15.4 万行 C/C++ 代码移植为 Rust。结果不仅消除了安全隐患，还意外获得了 5% 到 15% 的性能提升。
• Win32k.sys (GDI 模块): 这是 Windows 安全的“阿喀琉斯之踵”，过去20年间漏洞不断。微软选择用 Rust 重写了其中的 GDI Regions 子系统。两名开发者耗时三个月，移植了 6.3 万行 代码进入内核态。尽管 C++/Rust 的互操作边界带来了巨大挑战，但项目最终成功，且没有性能衰退。如今，在 Windows 系统目录中，你甚至能找到带有 _rs 后缀的内核模块文件。

Office 与 Azure 云：性能与安全的双重胜利

• Office (DISKANN 向量搜索): Office 团队将一个前沿的向量搜索算法（DISKANN）从 C++ 移植到 Rust，用于 Office 365 和 Azure Cosmos DB。结果是惊人的：在实现同等 QPS 的情况下，召回率显著提升，内存占用反而下降。
• Azure (CTO 的铁腕): Mark Russinovich 透露，早在发布那条著名推文的两三年前，他就已在 Azure 内部颁布指令：“Azure 中不再有新的 C++ 系统代码”。这一指令推动了 Rust 在 Azure 基础架构中的全面应用：
  • 硬件层面: 云服务器的开源可信根项目 Caliptra、深入每台服务器的 Azure Integrated HSM 硬件安全模块，其固件均由 Rust 编写。
  • 硬件卸载卡: 负责网络和存储处理的智能网卡（DPU）上的新组件，已全部使用 Rust 开发，部分已有 C++ 组件也被迁移到了 Rust。
  • 虚拟化: Hyper-V 的 Arm64 模拟代码已用 Rust 重写；最近开源的 Open VMM（一个准虚拟化监视器）完全由 Rust 构建；而革命性的 Hyper-V Lite 项目，能以微秒级速度启动一个超轻量级虚拟机来运行 WASM 负载，其原型虽为 C#，但最终的开源实现完全是 Rust。
• Azure 服务:
  • Azure Data Explorer (ADX): 这个每天处理 PB 级数据的日志分析平台，其 V2 版本后完全用 35 万行 Rust 代码 重写，性能超越 C++ 版本，成为微软内部 Rust 实践的标杆案例。
  • Azure SDK for Rust: 顺应客户需求，Azure 官方已发布了 Rust SDK 的 Beta 版本，标志着 Rust 正式成为 Azure 的一等公民语言。

真实反馈：来自一线开发者的收获与挑战

这场变革并非一帆风顺。Mark Russinovich 坦诚地分享了一线开发者的真实反馈：

** 收获 (The Positives):**

• “如果它能编译，它就能工作”: 这是开发者们提到最多的一点，与 C++ 编译通过后仍充满不确定性的体验形成鲜明对比。
• 减少摩擦，专注创新: 消除了内存安全和数据竞争等底层心智负担。
• “两个月的转变”: 一个常见的模式是，C++ 开发者最初会对所有权和借用检查器感到痛苦，但大约两个月后，他们会转变为 Rust 的忠实拥护者。

** 挑战 (The Negatives):**

• C++ 互操作性是第一大难题: 在逐步替换大型 C++ 项目时，处理两种语言的边界问题耗费了大量精力。
• 工具链仍有待成熟。
• Crate 生态系统: 开发者不确定应该使用和信任哪些第三方库。
• 部分依赖的特性尚未稳定。
• 动态链接: 在 Windows 生态中常见的动态链接，与 Rust 的结合存在问题。

尽管存在这些挑战，但 Mark Russinovich 强调，优点已经足够让微软“全身心投入 (all in)”。

展望未来：用 AI 加速 “去 C++” 进程

演讲的最后，Mark Russinovich 揭示了微软正在探索的、旨在加速 Rust 迁移的“终极武器”——自动化代码翻译。

微软正在从两个方向推进这项工作：

1. 专用转译器 (Transpiler): 针对特定领域，如经过形式化验证的加密库。微软研究团队已开发出一个工具，能将严格遵循特定规范的 C 代码自动、安全地转译为 100% safe 的 Rust 代码，并确保其数学验证在转译后依然有效。
2. 通用 AI 翻译器 (GenAI + GraphRAG): 这是更宏伟的目标。传统的 LLM 在处理多文件、复杂的 C++ 项目时效果不佳。微软正在利用一种名为 GraphRAG (图检索增强生成) 的先进技术。该技术能将代码解析为抽象语法树，并构建一个多层次的、包含代码摘要和依赖关系的图谱。当进行翻译时，AI 可以基于这个图谱进行更精准、更具上下文感知的代码生成。

他现场演示了一个将多文件 Python 小游戏翻译为 Rust 的例子。普通的 GPT-4o 生成的代码无法编译，而 GraphRAG 驱动的翻译器则一次性生成了可完美运行的、100% safe 的 Rust 代码。

总结：一场自上而下的语言革命

Mark Russinovich 的演讲，标志着 Rust 在主流工业界的应用进入了一个全新的阶段。微软的实践雄辩地证明，用 Rust 替代 C/C++ 不仅是为了安全，更能带来意想不到的性能收益和开发体验提升。

更重要的是，微软的承诺是全方位的：从内部产品的深度重构，到对社区的资金支持，再到投入研发力量攻克 C++ 互操作和自动化迁移这两大核心难题。

正如 Mark 所言，一门语言的成熟需要超过十年的时间。Rust 已经走到了这个节点，其生态和工具链的成熟度已经达到了一个临界点，使得像微软这样的巨头可以放心下注。对于任何想要挑战 Rust 地位的新语言来说，都将面临一座极难逾越的高山。

微软的“All in”，不仅是对 Rust 过去的肯定，更是对未来的巨大投资。这无疑为整个软件行业指明了一个更安全、更高效的方向。

你的Go技能，是否也卡在了“熟练”到“精通”的瓶颈期？

• 想写出更地道、更健壮的Go代码，却总在细节上踩坑？
• 渴望提升软件设计能力，驾驭复杂Go项目却缺乏章法？
• 想打造生产级的Go服务，却在工程化实践中屡屡受挫？

继《Go语言第一课》后，我的《Go语言进阶课》终于在极客时间与大家见面了！

我的全新极客时间专栏 《Tony Bai·Go语言进阶课》就是为这样的你量身打造！30+讲硬核内容，带你夯实语法认知，提升设计思维，锻造工程实践能力，更有实战项目串讲。

目标只有一个：助你完成从“Go熟练工”到“Go专家”的蜕变！ 现在就加入，让你的Go技能再上一个新台阶！

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。如有需求，请扫描下方公众号二维码，与我私信联系。

本文永久链接 – https://tonybai.com/2025/08/25/go-is-still-not-good

大家好，我是Tony Bai。

在技术圈，平静的湖面下往往暗流涌动。对于Go语言社区而言，这股潜藏已久的暗流，被近期的一篇名为《Go is still not good》的博文彻底引爆。作者Thomas Habets，一位自称拥有超过十年Go使用经验的资深开发者，在他的这篇文章中系统性地列举了他眼中Go语言的“七宗罪”。这篇文章迅速登上Hacker News热榜，吸引了超过700条评论，形成了一场规模空前的社区大辩论。

参与者中不乏Go的早期采纳者、贡献者和日常重度使用者。他们争论的焦点，早已超越了语法糖的优劣，直指Go语言最核心的设计哲学——那些曾被誉为“简单”和“务实”的基石，如今在一些开发者眼中，却成了束缚发展、埋下隐患的“原罪”。

在这篇文章中，我就和大家一起跟随这场激辩，逐一剖析这引发轩然大波的“七宗罪”，看看从中能得到哪些有益的启示。

第一宗罪：歧义之空——nil 的双重身份

这是Go语言中最著名的“陷阱”，也是原文作者打响的第一枪。一个持有nil指针的接口变量，其自身并不等于nil。

package main

import "fmt"

type Error interface {
    Error() string
}

type MyError struct{}

func (e *MyError) Error() string { return "my error" }

func GetError() *MyError {
    // 假设在某种条件下，我们返回一个 nil 的具体错误类型指针
    return nil
}

func main() {
    var err Error = GetError()

    // 输出: false
    // 尽管接口 err 内部持有的值是 nil，但接口本身因为包含了类型信息 (*MyError)，所以它不为 nil。
    fmt.Println(err == nil) 

    if err != nil {
        // 这段代码会被执行，然后可能在后续操作中引发 panic
        fmt.Printf("An error occurred: %v (type: %T)\n", err, err)
        // err.Error() // 若MyError的Error方法有解引用操作，此处会panic
    }
}

我们知道：Go的接口（interface）在内部实现为一个包含两部分的“胖指针”（fat pointer）：一个指向类型元数据的指针和一个指向实际数据的指针。只有当这两个指针都为nil时，接口变量本身才被认为是nil。在上述例子中，err的内部状态是(type=*MyError, value=nil)。因为类型信息存在，err != nil的判断为真，导致程序逻辑错误地进入了错误处理分支，挑战了开发者的常规直觉。

社区激辩：

• 批评者阵营：Hacker News上，有用户提供了一个经典的Playground示例，展示了这个问题如何在生产环境中导致panic，并评论道：“这确实会在生产中咬你一口，而且在代码审查中极易被忽略。”另一位用户则更为尖锐，他引用了Rob Pike关于Go是为“非研究型、刚毕业的年轻工程师”设计的言论，反问道：“一个声称为了简化编程而设计的语言，却包含如此令人困惑的nil行为，这本身就是一种讽刺。”

• 辩护者阵营：另一派观点认为，这并非缺陷，而是Go底层数据结构逻辑的直接体现。有开发者解释道：“接口值是一个包含类型和值的偶对。(&Cat, nil)当然不等于(nil, nil)。”他们认为，一旦理解了接口的内存模型，这个问题便不再神秘，甚至可以利用这一特性（例如，在nil接收者上调用方法）。然而，这种辩护本身就强化了批评者的观点：一门标榜高级和简单的语言，却要求开发者对底层的实现细节有如此深刻的理解，这是否可以看作设计上的一种失败呢？

第二宗罪：作用域之惑——被迫扩展的err变量生命周期

Go通过if err := foo(); err != nil语法，优雅地将err变量的作用域限制在if块内，这被广泛认为是最佳实践。然而，当函数调用需要返回除error之外的值时，这种优雅便荡然无存。

bar, err := foo()
if err != nil {
    return err
}
// 此处的err变量将在整个函数剩余部分都有效，即使它现在的值是nil

if err = foo2(); err != nil { // 复用err
    return err
}

// ... 大量代码 ...

return err

Go的短变量声明:=要求左侧至少有一个新变量。为了接收bar这个新值，err也被迫在函数作用域内被重新声明（或首次声明）。这导致err的生命周期被人为地拉长，污染了整个函数的作用域。

社区激辩：

• 批评者阵营：原文作者尖锐地指出，这种设计“强迫你做错误的事情”。一个本应是局部的错误变量，现在却像个幽灵一样在整个函数中游荡，增加了代码阅读者的认知负担。读者必须时刻追踪err变量最后一次被赋值的位置，这极易导致bug，尤其是在重构或修改长函数时。
• 辩护者阵营：对此的辩护声音较弱，大多认为这是个“可以忍受的小麻烦”。他们认为，这是为了保持语法一致性（:=的规则）而付出的代价。然而，这恰恰暴露了Go在追求一种形式上的“简单”时，牺牲了更重要的“上下文清晰性”。

第三宗罪：所有权之乱——append的隐式副作用

slice是Go的基石之一，但其与底层数组（backing array）的模糊关系，通过append函数暴露无遗，构成了另一个经典的“搬起石头砸自己的脚”。

原文的例子一针见血地揭示了append行为的不可预测性：

package main

import "fmt"

func main() {
    // 案例一：当容量足够时，发生“幽灵写入”
    a := []string{"hello", "world", "!"}
    b := a[:1]                 // b与a共享底层数组，且cap(b) == 3
    b = append(b, "NIGHTMARE") // 修改了b，因为容量足够，直接修改了底层数组
    fmt.Println(a)// 结果：a变成了[hello NIGHTMARE !]

    // 案例二：当容量不足时，修改“失败”
    a = []string{"hello", "world", "!"}
    b = a[:1]
    b = append(b, "BACON", "THIS", "SHOULD", "WORK") // 容量不足，分配了新数组
    fmt.Println(a)// 结果：a依然是[hello world !]
}

我们知道：append的行为取决于slice的容量（cap）。如果追加后未超出容量，它会就地修改底层数组；否则，会分配一个新的、更大的数组。这种设计不仅让append的性能变得不确定，更严重的是，它破坏了函数调用的封装性，使得slice既不像值类型（可能被远程修改），也不像纯粹的引用类型（可能因重分配而断开联系）。

社区激辩：

• 批评者阵营：Hacker News上一位获得高赞的评论是这样的：“append的例子是Go缺陷中最恶劣、最不可原谅的。”这种行为使得数据流变得难以追踪，迫使开发者必须时刻警惕slice的容量，或养成防御性编程的习惯，例如总是重新接收append的返回值。这与Go追求的“明确”背道而驰。
• 辩护者阵营：支持者认为这是为了性能做出的合理权衡，避免了不必要的内存分配。他们强调，Go官方文档已明确说明了slice的工作原理。然而，这再次回到了那个核心问题：一门标榜“简单”的语言，是否应该包含如此微妙且需要深度理解才能安全使用的核心数据结构？

第四宗罪：作用域陷阱——函数级的defer

defer是Go处理资源释放的利器，但它的作用域是整个函数，而非其所在的词法块（lexical scope）。这在循环中处理资源时会成为一个严重的资源泄漏问题。

for _, file := range files {
    f, err := os.Open(file)
    if err != nil { /* ... */ continue }
    // defer不会在每次循环结束时执行，而是堆积到函数返回时执行
    // 如果文件列表很长，将耗尽文件句柄
    defer f.Close()
    // ... process file
}

根本原因在于defer语句的执行被推入一个与当前函数关联的栈中，在函数返回前统一执行。这简化了编译器的实现，并确保了panic时资源也能被释放。

社区激辩：

• 批评者阵营：一个开发者的高赞评论代表了社区的普遍困惑：“我至今不明白defer为什么是函数作用域而非词法作用域。”这与C++的RAII或Java的try-with-resources相比，是一种设计上的倒退。公认的解决方法是使用匿名函数func(){…}()包裹循环体，但这无疑增加了代码的丑陋和复杂性。
• 辩护者阵营：有用户指出，函数级作用域也有其便利之处，例如可以在if块中有条件地注册一个defer。但总体而言，社区普遍认为，默认应该是更安全、更符合直觉的词法作用域。

第五宗罪：异常之隐——被标准库“吞噬”的panic

Go的哲学是：error用于可预见的错误，panic用于程序无法继续的灾难。然而，作者指出，标准库中的fmt.Print和net/http服务器等关键部分，会主动recover从panic中恢复，这破坏了panic的基本约定。

这意味着开发者必须编写“异常安全”的代码。你必须假设任何传递给标准库的代码都可能在panic后被恢复。因此，像互斥锁（mutex）这样的资源必须通过defer来确保释放，否则一旦发生被“吞噬”的panic，就会造成死锁。作者愤怒地指出：“所有希望都破灭了。你必须写异常安全的代码，但你又不应该使用异常。你只能承受异常带来的所有负面影响。”

社区激辩：这一点在社区中几乎没有辩护的声音。这被视为一种设计上的不一致和“伪善”。语言在表层倡导一种错误处理哲学，却在底层库中悄悄破坏它，迫使开发者为这种矛盾买单。

第六宗罪：编码之殇——对非UTF-8的“绥靖政策”

Go的string类型本质是只读的[]byte，不强制其为合法的UTF-8。这在与操作系统交互（如处理文件名）时提供了灵活性，但也埋下了隐患。

作者控诉，这种“宽松”策略是数据丢失的根源。当工具不假思索地按UTF-8处理文件名时，遇到非UTF-8编码的文件名可能会跳过或处理失败，导致在备份、恢复等关键操作中“静默地”遗漏数据。

社区激辩：

• 批评者阵营：他们认为类型系统应防止此类错误。有用户激烈地评论道：“Go让你很容易做那些看起来99.7%的时间都有效，但却是愚蠢、错误、不正确的事情……然后有一天，你的用户就因为一个非UTF-8文件名而永久丢失了数据。”
• 辩护者阵营：另一方则认为Go的做法才是务实的。有用户指出，一个强制Unicode正确性的文件接口在真实世界中是有问题的。Rust的OsStr虽然严谨，但人体工程学极差。Go的方式虽然“混乱”，但在实践中更方便。这揭示了严谨性与便利性之间的深刻矛盾。

第七宗罪：承诺之虚——伪善的“简单”与被忽视的性能

这并非单一技术点，而是对Go整体设计理念的综合批判。

• 简单性的代价是复杂性转移：许多评论者指出，Go语言层面的“简单”，是把复杂性推给开发者来承担。没有枚举、没有强大的泛型（即使1.18加入了，也限制颇多）、没有Result类型，导致开发者需要手写大量重复的样板代码和自定义数据结构。
• 内存管理的“信任危机”：原文作者提到“RAM is cheap”是危险的思维。Hacker News上有开发者分享了其在内存敏感项目中被Go的非压缩GC和堆碎片化问题折磨的经历，他们甚至不得不重写部分标准库以避免内存分配。这与Go宣称的“高性能”和“无忧GC”形成了鲜明对比。

为何着一篇文章能掀起千层浪？

这场激辩之所以如此激烈，是因为它触及了Go社区内部长期存在的深层张力：

1. “Google的Go” vs “世界的Go”：Go的许多设计源于解决Google内部特定问题的需求（C++编译慢、monorepo文化）。这种“出身”决定了它在某些方面与更广阔的编程世界存在脱节。早年对单调时钟的忽视就是典型例子。
2. 简单主义 vs 现代语言特性：Go的创造者们带着一种“回归本源”的复古主义情怀，刻意回避了过去几十年编程语言理论的发展成果，如高级类型系统、代数数据类型等。这使得Go易于上手，但也让它在处理复杂逻辑时显得捉襟见肘，迫使开发者“用代码的冗余换取语言的简单”。
3. 显式 vs 便利：if err != nil是显式的，但它不便利。Result类型和?操作符是便利的，但它在某种程度上是隐式的。Go坚定地站在了“显式”这一边，但社区中渴望“便利”的声音从未停止。

小结

将Go的这些“罪状”简单归结为“错误”也是片面的。它们是Go强硬的、自洽的设计哲学所带来的必然产物。

• 这是一门有“历史”的现代语言：Go的设计深受其创造者们在C、Unix、Plan 9上的经验影响。它继承了C的简洁，但也继承了其对底层细节的暴露。
• 承认权衡，理解其生态位：Go在“开发效率”、“运行性能”和“语言简单性”之间做出了明确的取舍，在云原生、微服务领域找到了无与伦比的“甜蜜点”。
• 缓慢的进化也是一种承诺：Go团队对语言的改变极为谨慎，以维护其著名的向后兼容性承诺。但它并非一成不变。泛型的加入、for range循环变量作用域的修正，都表明Go在倾听社区的声音。

《Go is still not good》及其引发的激辩，为我们提供了一个宝贵的窗口，去重新审视这门既年轻又充满“历史感”的语言。它提醒我们，没有完美的语言，只有充满权衡的工具。

对于Go开发者而言，理解这“七宗罪”的来龙去脉，不仅能帮助我们写出更健壮、更地道的代码，更能让我们清晰地认识到Go的优势与边界。与其无休止地争论它是否“足够好”，不如深入思考：它是否是解决我们当前问题的正确工具？ 而这，或许才是这场大辩论给予我们的最大启示。

你的Go技能，是否也卡在了“熟练”到“精通”的瓶颈期？

• 想写出更地道、更健壮的Go代码，却总在细节上踩坑？
• 渴望提升软件设计能力，驾驭复杂Go项目却缺乏章法？
• 想打造生产级的Go服务，却在工程化实践中屡屡受挫？

继《Go语言第一课》后，我的《Go语言进阶课》终于在极客时间与大家见面了！

我的全新极客时间专栏 《Tony Bai·Go语言进阶课》就是为这样的你量身打造！30+讲硬核内容，带你夯实语法认知，提升设计思维，锻造工程实践能力，更有实战项目串讲。

目标只有一个：助你完成从“Go熟练工”到“Go专家”的蜕变！ 现在就加入，让你的Go技能再上一个新台阶！

商务合作方式：撰稿、出书、培训、在线课程、合伙创业、咨询、广告合作。如有需求，请扫描下方公众号二维码，与我私信联系。